法國(guó)研究人員找到破解WannaCry方法：不用贖金

HAPPI0naire 2017-05-22

展開全文

　　5月20日消息，據(jù)路透社報(bào)道，法國(guó)研究人員周五表示，他們已經(jīng)為技術(shù)人員找到能夠挽救被WannaCry勒索病毒加密的Windows文件的最后機(jī)會(huì)。WannaCry發(fā)布者威已脅開始鎖定一周前被該病毒感染的電腦，為此，網(wǎng)絡(luò)安全研究人員正爭(zhēng)分奪秒，以在最后期限到來前找到破解方式。

　　WannaCry上周五開始肆虐全球，在150個(gè)國(guó)家感染了超過30萬臺(tái)計(jì)算機(jī)。其發(fā)布者威脅稱，對(duì)于其計(jì)算機(jī)被感染后一周內(nèi)仍沒有支付300美元至600美元的受害者，將讓他們無法訪問其被鎖定的文件。

　　一個(gè)由分散在全球的網(wǎng)絡(luò)安全研究人員組成的一個(gè)組織松散的團(tuán)隊(duì)表示，為破解被WannaCry鎖定文件的加密密鑰，他們通過合作已經(jīng)找到一個(gè)解決方案。這一消息被幾位獨(dú)立的安全研究人員所證實(shí)。

　　研究人員警告稱，他們的解決方案只能在某些條件下有效，即計(jì)算機(jī)自被感染以來沒有被重啟，同時(shí)受害者要在文件被永久性鎖定之前使用該修復(fù)工具。

　　歐洲刑警組織在Twitter上表示，歐洲網(wǎng)絡(luò)犯罪中心對(duì)該團(tuán)隊(duì)開發(fā)的新工具進(jìn)行了測(cè)試，發(fā)現(xiàn)“在某些情況下可以恢復(fù)數(shù)據(jù)”。

　　該團(tuán)隊(duì)的成員包括法國(guó)網(wǎng)絡(luò)安全專家阿德里安·古奈特(Adrien Guinet)、國(guó)際知名黑客馬特·蘇伊切（Matthieu Suiche），以及法國(guó)業(yè)余安全研究員本杰明·德爾皮（Benjamin Delpy），后者在法蘭西銀行工作，利用夜間幫忙解決網(wǎng)絡(luò)安全問題。

　　德爾皮稱：“我們知道我們必須爭(zhēng)分奪秒，因?yàn)殡S著時(shí)間的推移，恢復(fù)（被感染文件）的機(jī)會(huì)就越來越少?！痹诙冗^本周第二個(gè)不眠之夜后，他得以在巴黎時(shí)間周五早上6點(diǎn)發(fā)布一個(gè)可行的方法來解密被WannaCry鎖定的文件。

　　對(duì)這款不需支付贖金而能解密被感染電腦的免費(fèi)工具，德爾皮將其命名為“Wanakiwi”。

　　蘇伊切發(fā)表了一篇博客文章，總結(jié)了“Wanakiwi”的技術(shù)細(xì)節(jié)，并正加緊與受WannaCry影響的組織的技術(shù)人員分享。

　　他表示，通過快速測(cè)試，顯示“Wanakiwi”對(duì)Windows 7和更早版本的Windows XP和Windows 2003版本有效。他補(bǔ)充說，他相信這款匆忙開發(fā)的修復(fù)軟件也適用于Windows 2008和Windows Vista，意味著可涵蓋全部受影響的計(jì)算機(jī)。

　　蘇伊切通過Twitter上的“直接消息(direct message)”告訴路透社：“（該方法）應(yīng)該適用于從Windows XP到Windows 7的任何操作系統(tǒng)，”。

　　他補(bǔ)充說，到目前為止，來自歐洲幾個(gè)國(guó)家和印度的銀行、能源和一些政府情報(bào)機(jī)構(gòu)已經(jīng)就修復(fù)問題聯(lián)系了他。

　　古奈特是巴黎網(wǎng)絡(luò)安全公司Quarkslab的安全研究員，他于周三和周四晚些時(shí)候發(fā)布了解密被WannaCry鎖定文件的理論性技術(shù)。德爾皮也在巴黎，他發(fā)現(xiàn)可以將該技術(shù)變?yōu)橐粋€(gè)能挽救被WannaCry鎖定的文件的實(shí)用工具。

　　目前身在迪拜的蘇伊切是世界頂級(jí)的獨(dú)立安全研究人員之一，他提供了有關(guān)建議和測(cè)試，以確?！癢anakiwi”在各種版本的Windows上都有效。

　　他的博客文章提供了德爾皮的“Wanakiwi”解密工具的鏈接，該工具基于古奈特最初提出的概念。古奈特的想法包括使用素?cái)?shù)提取WannaCry加密代碼的密鑰，而不是試圖破壞該惡意軟件完整加密密鑰背后無限可能的一系列數(shù)字。

　　蘇伊切稱：“這不是一個(gè)完美的解決方案。但是到目前為止，這是幫助企業(yè)恢復(fù)文件的唯一可行解決方案，前提是文件已被感染但沒有備份。這可以讓用戶在不支付贖金的情況下恢復(fù)數(shù)據(jù)?！?/span>

　　根據(jù)網(wǎng)絡(luò)公司Kryptos Logic提供的數(shù)據(jù)，截至本周三，受WannaCry感染的全球互聯(lián)網(wǎng)地址中有一半位于中國(guó)和俄羅斯，分別占30％和20％。

　　Kryptos Logic稱，相比之下，在受感染的全球互聯(lián)網(wǎng)地址中，美國(guó)所占比例僅為7%，英國(guó)、法國(guó)和德國(guó)則均為2%。

　　截止周五，在WannaCry病毒爆發(fā)的七天內(nèi)，WannaCry的訛詐帳戶似乎只收到309筆付款，價(jià)值約9.4萬美元。

　　這不到估計(jì)受害者的千分之一。

　　這可能反映了安全專家說的各種因素，包括懷疑攻擊者將履行其承諾的疑慮，或一些組織有備份存儲(chǔ)計(jì)劃，允許他們?cè)诓恢Ц囤H金的情況下有恢復(fù)數(shù)據(jù)的可能性。

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自： HAPPI0naire > 《IT》

舉報(bào)/認(rèn)領(lǐng)