作者Cactusman (仙人掌人)
看板AntiVirus
标题Re: [情报] WannaCry解密工具出炉
时间Fri May 19 21:08:00 2017
※ 引述《a29174332 (BigAnna)》之铭言:
: 饿死抬头,我还没细看原文,不过似乎是用内建解密一个档案的漏洞去解开所有档案
: https://goo.gl/VxrDhz
: 里面有GitHub的连结可以下载解密档案
: 分享给被加密但还没重灌的人
原理是发现这病毒会利用「质数」产生两组密码,一组公钥一组私钥,把档案加密後再把
API中的密码清除,所以基本上你除了付钱以外无法得知密码,但病毒漏掉一个东西....
就是他没有删掉记忆体中暂存「用来产生密码的质数」。
所以如果你还没重开机or记忆体没被其它程式占据
就有机会可以用电脑里面同样的质数推算出密码
所以不是什麽档案解密漏洞、也不是直接从记忆体捞key
正确来说是用同样的手法间接推算出解密用的key
稍微看一下文章大概是这样。
但要没重开机这条件也太难了,之前的宣导都是叫大家立刻断网断电啊xD
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 118.233.209.29
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1495199282.A.E5A.html
※ 编辑: Cactusman (118.233.209.29), 05/19/2017 21:10:41
※ 编辑: Cactusman (118.233.209.29), 05/19/2017 21:13:16
※ 编辑: Cactusman (118.233.209.29), 05/19/2017 21:14:01
1F:推 wotupset: 病毒不是会开机启动吗 有没有可能会加密第二次? 05/19 21:42
2F:推 sam613: 勒索病毒的安全性漏洞 05/19 21:43
3F:推 Kreen: 所以其实他是病毒的病毒XDD 05/19 22:01
4F:→ pinkowa: 可是这样推算密码到底有几组可能? 如果只有一组那就一样 05/19 23:46
5F:→ pinkowa: 如果只有很多组可能,那要Try到什麽时候? 05/19 23:47
6F:推 blink173: XP限定啊 其他系统都不行 只有Xp有这个洞 05/19 23:56
7F:→ Cactusman: XP是太老旧API删不乾净,这个解是Vista跟7都能用 05/20 02:53
8F:→ photoless: 谁电脑中了勒索不关机的?又有谁保证记忆体可以让你捞 05/20 08:32
9F:→ photoless: 到东西? 05/20 08:32
10F:推 USD5566: 没人说保证解阿 是在悲愤啥 有人逼你用? 05/20 16:30
11F:推 mathrew: 啊人家就有先天条件了 真的不懂在悲愤啥... 05/20 21:09
12F:推 a1919979: RSA被捞到两个大质数 基本上跟捞到私钥也是87%像啦 05/20 23:14