作者Cactusman (仙人掌人)
看板AntiVirus
標題Re: [情報] WannaCry解密工具出爐
時間Fri May 19 21:08:00 2017
※ 引述《a29174332 (BigAnna)》之銘言:
: 餓死抬頭,我還沒細看原文,不過似乎是用內建解密一個檔案的漏洞去解開所有檔案
: https://goo.gl/VxrDhz
: 裡面有GitHub的連結可以下載解密檔案
: 分享給被加密但還沒重灌的人
原理是發現這病毒會利用「質數」產生兩組密碼,一組公鑰一組私鑰,把檔案加密後再把
API中的密碼清除,所以基本上你除了付錢以外無法得知密碼,但病毒漏掉一個東西....
就是他沒有刪掉記憶體中暫存「用來產生密碼的質數」。
所以如果你還沒重開機or記憶體沒被其它程式佔據
就有機會可以用電腦裡面同樣的質數推算出密碼
所以不是什麼檔案解密漏洞、也不是直接從記憶體撈key
正確來說是用同樣的手法間接推算出解密用的key
稍微看一下文章大概是這樣。
但要沒重開機這條件也太難了,之前的宣導都是叫大家立刻斷網斷電啊xD
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.233.209.29
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1495199282.A.E5A.html
※ 編輯: Cactusman (118.233.209.29), 05/19/2017 21:10:41
※ 編輯: Cactusman (118.233.209.29), 05/19/2017 21:13:16
※ 編輯: Cactusman (118.233.209.29), 05/19/2017 21:14:01
1F:推 wotupset: 病毒不是會開機啟動嗎 有沒有可能會加密第二次? 05/19 21:42
2F:推 sam613: 勒索病毒的安全性漏洞 05/19 21:43
3F:推 Kreen: 所以其實他是病毒的病毒XDD 05/19 22:01
4F:→ pinkowa: 可是這樣推算密碼到底有幾組可能? 如果只有一組那就一樣 05/19 23:46
5F:→ pinkowa: 如果只有很多組可能,那要Try到什麼時候? 05/19 23:47
6F:推 blink173: XP限定啊 其他系統都不行 只有Xp有這個洞 05/19 23:56
7F:→ Cactusman: XP是太老舊API刪不乾淨,這個解是Vista跟7都能用 05/20 02:53
8F:→ photoless: 誰電腦中了勒索不關機的?又有誰保證記憶體可以讓你撈 05/20 08:32
9F:→ photoless: 到東西? 05/20 08:32
10F:推 USD5566: 沒人說保證解阿 是在悲憤啥 有人逼你用? 05/20 16:30
11F:推 mathrew: 啊人家就有先天條件了 真的不懂在悲憤啥... 05/20 21:09
12F:推 a1919979: RSA被撈到兩個大質數 基本上跟撈到私鑰也是87%像啦 05/20 23:14