Serangan paling dahsyat dari virus Wana Decryptor dimulai kemarin, 12 Mei 2017, ribuan komputer terkena dampaknya di seluruh dunia. Dalam beberapa jam, terdapat 45.000 komputer yang terinfeksi di dunia, dan angka ini terus bertambah setiap menitnya.

Negara yang paling terkena dampaknya adalah Rusia; serangan virus terus berlanjut hingga hari ini dan peretas kini mencoba mengambil alih sektor perbankan. Kemarin serangan utama menghantam komputer pengguna biasa dan jaringan Kementerian Dalam Negeri Rusia.

Program ini mengenkripsi akses ke berbagai file di komputer Anda dan menawarkan akses ke file tersebut hanya setelah membayar dengan bitcoin. Dengan cara ini peretas dapat menghasilkan jutaan dolar. Mendekripsi file WNCRY belum dapat dilakukan, tetapi Anda dapat memulihkan file terenkripsi menggunakan program ShadowExplorer dan PhotoRec, tetapi tidak ada yang bisa memberikan jaminan.

Virus ransomware ini sering disebut Wana Decryptor, namun juga memiliki nama lain: WanaCrypt0r, Wanna Cry atau Wana Decrypt0r. Sebelumnya, virus utama memiliki adik ransomware Wanna Cry dan WanaCrypt0r. Belakangan, angka “0” diganti dengan huruf “o”, dan virus utamanya dikenal dengan nama Wana Decrypt0r.

Pada akhirnya, virus menambahkan ekstensi WNCRY ke file terenkripsi, yang terkadang disebut dengan singkatan ini.

Bagaimana Wana Decryptor menginfeksi komputer?

Komputer yang menjalankan sistem operasi Windows memiliki kerentanan dalam layanan SMB. Lubang ini ada di semua sistem operasi Windows versi 7 hingga Windows 10. Pada bulan Maret, perusahaan merilis pembaruan patch “MS17-010: Pembaruan Keamanan untuk Windows SMB Server”, namun dilihat dari jumlah komputer yang terinfeksi, jelas bahwa banyak yang mengabaikan pembaruan ini.

Di akhir kerjanya, virus Wana Decryptor akan mencoba menghapus semua salinan file dan backup sistem lainnya, sehingga jika terjadi sesuatu tidak dapat dipulihkan. Untuk melakukan ini, ia akan menanyakan hak administrator pengguna, sistem operasi Windows akan menampilkan peringatan dari layanan UAC. Jika pengguna menolak memberikan hak penuh, maka salinan file akan tetap ada di komputer dan pengguna akan dapat memulihkannya secara gratis.

Bagaimana memulihkan file yang dienkripsi oleh Wana Decryptor dan melindungi komputer Anda?

Satu-satunya cara untuk memulihkan file yang telah dienkripsi oleh virus adalah dengan menggunakan program ShadowExplorer dan PhotoRec. Baca manual program ini untuk mempelajari cara memulihkan file terenkripsi.

Untuk mencegah virus ransomware WNCRY menginfeksi komputer Anda, Anda harus menutup semua kerentanan dalam sistem. Untuk melakukannya, unduh pembaruan MS17-010 https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx.

Selain itu, jangan lupa untuk menginstal antivirus Zemana Anti-malware atau Malwarebytes di komputer Anda; dalam versi lengkap berbayar, mereka akan memblokir peluncuran virus ransomware.

Bak pasir

Bagaimana memulihkan file setelah mengenkripsi virus ransomware WannaCry

Selamat siang, Habrazhiteliki. Banyak yang telah ditulis di Habré tentang cara melindungi diri Anda dari WannaCry. Namun karena alasan tertentu, tidak dijelaskan cara mengembalikan data terenkripsi. Saya ingin mengisi kesenjangan ini. Dan menjelaskan sedikit tentang bagaimana kami melakukan ini di perusahaan “terkenal” kami yang bergerak di bidang logistik. Ini lebih merupakan instruksi untuk administrator keamanan informasi kami.

Pemulihan setelah enkripsi data

Untuk melakukan ini, Anda dapat menggunakan utilitas ShadowExplorer - gratis dan memungkinkan Anda memulihkan file dari titik pemulihan. Titik pemulihan dibuat setiap kali sistem diperbarui dan sistem lama ditimpa dengan yang baru. Jumlah titik bergantung pada ruang yang dialokasikan untuk titik pemulihan. Rata-rata, 5-6 di antaranya disimpan di rata-rata Windows.

Pilih titik pemulihan dan Anda dapat mengekspor file dan direktori ke lokasi yang Anda perlukan:

Pilih file-file yang belum dienkripsi dan ekspor ke lokasi yang Anda perlukan.

(Dalam beberapa kasus, ketika pembaruan telah berlalu, titik pemulihan tersebut mungkin ditimpa ketika file belum dienkripsi. Mungkin juga beberapa data sudah dienkripsi di titik pemulihan, namun ada pula yang belum. Anda hanya perlu memulihkan apa yang dapat dipulihkan.)

Pada prinsipnya, hanya itulah yang diperlukan untuk restorasi jika memungkinkan.

Penting! Setelah memulihkan file, Anda perlu menghapus titik pemulihan yang datanya sudah dienkripsi. Telah diketahui bahwa di sinilah virus memulihkan dirinya sendiri setelah dibersihkan.

Memulihkan data, serta menetralisir dan menghapus virus:

6. Kemudian luncurkan patch KB4012212, sehingga menutup kerentanan jaringan MS17-010
7. Nyalakan jaringan dan instal (atau perbarui) perangkat lunak anti-virus.

Pada dasarnya itulah cara saya melawan virus Wanna Cry.

Tag: WannaCry, Dekripsi

Bagaimana menghapus Wana Decrypt0r 2.0

Dunia internet dan pengguna PC dikejutkan dengan ransomware enkripsi data jenis baru, yang disebut Wana Decrypt0r 2.0, yang telah menginfeksi ribuan stasiun kerja dalam waktu yang sangat singkat. Penyakit ini menginfeksi lebih dari 99 negara, termasuk Amerika Serikat, Amerika Latin, Eropa, dan negara-negara Asia secara bersamaan. Wana Decrypt0r 2.0 dikenal dengan beberapa nama: WCry, WNCry, WannaCry dan sebagainya. Setelah berhasil diinstal, ia mulai memindai stasiun kerja untuk mencari file dan program yang dapat dienkripsi. Ia menggunakan algoritma enkripsi RSA dan AES untuk mengunci file dan mengganti ekstensi nama defaultnya dengan .wcry, .wcryt, .wncry, atau .wncrrytt. Catatan tebusan terkaitnya disimpan dalam file teks bernama @Harap baca [dilindungi email]. Catatan ini berisi informasi tentang ransomware dan bitcoin serta alamat email untuk membayar uang tebusan. Penelitian menunjukkan bahwa Wana Decrypt0r 2.0 mengharuskan Anda membayar 300 dolar AS dalam mata uang virtual Bitcoin sebagai ganti kunci dekripsi. Sangat disarankan agar Anda segera memindai stasiun Anda dengan alat anti-malware yang kuat untuk menghapus sepenuhnya semua file terkait dan Wana Decrypt0r 2.0 yang berguna. Sangat penting untuk menghapus semua elemennya sehingga tidak dapat mengenkripsi file dan data lainnya.

Bagaimana cara Wana Decrypt0r 2.0 didistribusikan?

Secara teknis, Wana Decrypt0r 2.0 mampu menginfeksi PC berbasis Windows. Ini mengeksploitasi kerentanan EternalBlue di versi Windows 7, 8, 10 dan Windows Server. Menariknya, jika Anda tidak menerima patch Microsoft, indeks MS17-010, CVE-2017-0146 dan CVE-2017-0147 pada bulan Maret 2017, kemungkinan besar Anda terinfeksi malware ini. Seperti ransomware lainnya, masih belum diketahui apakah ia menggunakan tablet atau kampanye lampiran email spam untuk mendistribusikannya atau tidak. Namun, Anda harus sangat berhati-hati saat membuka segala jenis lampiran email atau mengklik hyperlink sembarangan saat menjelajah.

Cara mendekripsi Wana Decrypt0r 2.0

Menurut penjahat dunia maya, mereka memanipulasi Anda untuk membayar uang tebusan guna mendapatkan kunci dekripsi yang diperlukan. Namun pakar dunia maya sepenuhnya setuju untuk merekomendasikan pembayaran uang tebusan. Ada banyak situasi di masa lalu di mana kunci dekripsi asli tidak diberikan oleh penyedia, bahkan setelah uang dibayarkan. Oleh karena itu, selalu lebih baik untuk mencoba cara alternatif seperti menggunakan file cadangan, salinan bayangan virtual, atau bahkan alat pemulihan data gratis yang tersedia di Internet. Pada saat yang sama, jangan lupa untuk memeriksa pengoperasian stasiun dengan alat anti-malware yang kuat dan menghapus semua elemen Wana Decrypt0r 2.0 yang terkait.

Bagaimana cara Wana Decrypt0r 2.0 masuk ke PC

Infeksi malware semacam ini menunjukkan betapa rentannya mereka di era era informasi modern ini. Hal ini dapat mengganggu kinerja PC dan pada saat yang sama, kita dapat kehilangan kerugian jutaan dolar. Ada beberapa laporan yang menyebutkan satu komputer terinfeksi malware, ribuan PC Windows dalam satu hari. Oleh karena itu, agar berhasil menghapus Wana Decrypt0r 2.0, penting juga untuk mengetahui bahwa malware ini menargetkan PC yang terinfeksi dan dengan mudah memasukinya.

Biasanya, ia mengakses file komponen dan kode dari program nyata, yang sering kali ditawarkan sebagai freeware. Mereka mendukung perangkat lunak gratis yang sah dan menginstalnya dengan sangat pelan. Misalkan Anda menginstal virus ini dengan beberapa program Java sehingga setiap kali file Java ini dijalankan, infeksi ini juga menjadi aktif dan memulai aktivitas mencurigakannya. Biasanya mereka mereplikasi diri dan dapat bereproduksi. Selain itu, ia dapat melakukan perjalanan melalui pesan email yang rusak, file peer-to-peer, hyperlink yang mencurigakan, dll. Ia mampu menggunakan jaringan komputer dan lubang keamanan untuk mereplikasi dirinya sendiri dan diinstal dengan sangat diam-diam. Program yang diunduh dari Internet, terutama dari sumber yang tidak tepercaya, juga merupakan sumber besar serangan malware komputer.

Bagaimana Wana Decrypt0r 2.0 bisa berbahaya?

Segala jenis malware PC selalu berbahaya, dan jika kaliber Wana Decrypt0r 2.0 maka situasinya menjadi lebih buruk. Ia dapat mengendalikan seluruh browser, memblokir akses ke aplikasi dan fitur penting, dan juga menggunakan pengaturan keamanan untuk membawa begitu banyak malware lainnya ke pintu belakang. Dapatkan konten halaman web yang Anda kunjungi secara otomatis dan kata kuncinya dicetak tebal dan diberi hyperlink dari URL jahat di dalamnya. Anda pasti akan dialihkan melalui situs web phishing dan berbahaya yang sebagian besar berisi konten porno.

Perilaku dasar Wana Dekripsi0r 2.0 adalah memata-matai aktivitas online Anda dan mengawasi informasi sensitif Anda. Ia dapat menggunakan plugin browser yang mencurigakan, add-on dan bahkan pencatat kunci dan penekanan tombol untuk memata-matai dan merekam aktivitas pengguna dan membocorkan data yang sangat sensitif seperti ID, kata sandi, lokasi geografis dan alamat IP, rincian bank, dll. Dengan mengubah pengaturan koneksi Internet Anda, komputer Anda terhubung ke server forensik cyber, sehingga komputer Anda diakses secara ilegal oleh pihak ketiga yang tidak berwenang. Ini akan mengambil alih halaman beranda dan mesin pencari default browser Anda dan menampilkan situs web mencurigakan yang tidak relevan dalam hasil pencarian. Sebagian besar situs web dalam hasil penelusuran adalah domain komersial, yang sama sekali tidak bernilai bagi kueri penelusuran. Oleh karena itu, penting untuk menghapus Wana Decrypt0r 2.0 segera setelah gejala awalnya diketahui.

Petunjuk Penghapusan Wana Decrypt0r 2.0

Rencanakan sebuah: hapus Wana Decrypt0r 2.0 dengan proses manual (disarankan hanya oleh pakar cyber dan teknisi terkemuka)

Rencana b : Hapus Wana Decrypt0r 2.0 dari PC Windows menggunakan alat penghapus otomatis (aman dan mudah untuk semua pengguna PC)

OS Windows Paket A: Hapus Wana Decrypt0r 2.0 secara manual

Sebelum melakukan proses manual, ada beberapa hal yang perlu dipastikan. Hal pertama adalah Anda harus memiliki pengetahuan teknis dan pengalaman hebat dalam menghapus malware PC secara manual. Anda harus memiliki pengetahuan mendalam tentang entri dan file registri sistem. Harus bisa membatalkan langkah yang salah dan harus sadar akan kemungkinan akibat negatif yang mungkin timbul dari kesalahan Anda. Jika pengetahuan teknis dasar ini tidak dijalankan maka rencana tersebut akan sangat beresiko dan sebaiknya dihindari. Dalam kasus seperti ini, sangat disarankan untuk mengaktifkan Paket B, yang lebih ringan dan akan membantu Anda mendeteksi dan menghapus Wana Dekripsi0r 2.0 mudah dengan alat otomatis. (Dengan SpyHunter dan RegHunter)

Langkah 1: Hapus Wana Decrypt0r 2.0 dari panel kontrol

Langkah 2: Hapus Wana Decrypt0r 2.0 dari browser

Di Chrome: Buka Google Chrome > klik menu Chrome > pilih Tools > klik extension > pilih Wana Decrypt0r 2.0 extensions > sampah

Di Firefox: Buka Firefox > pergi ke pojok kanan untuk membuka menu browser > pilih Add-on > pilih dan hapus ekstensi Wana Decrypt0r 2.0

Di Internet Explorer: Buka IE > klik Alat > klik kelola add-on, alat, dan ekstensi > pilih ekstensi Wana Dekripsi0r 2.0 dan elemen-elemennya dan menghapusnya.

Langkah 3: Hapus file berbahaya Wana Decrypt0r 2.0 dan entri registri

3. Deteksi entri registri yang dibuat oleh Wana Decrypt0r 2.0 dan hapus dengan hati-hati satu per satu

• HKLM\PERANGKAT LUNAK\Kelas\AppID\ .exe
• HKEY_CURRENT_USER\software\Microsoft\Internet Explorer\Main\Start Page Redirect=”http:// .com"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\nama virus
• HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon “Shell” = “%AppData%\ .exe"
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
• 'Acak' HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Random

Rencana b: Hapus Wana Decrypt0r 2.0 dengan utilitas Wana Decrypt0r 2.0 otomatis

Langkah1. Pindai komputer yang terinfeksi dengan SpyHunter untuk menghapus Wana Decrypt0r 2.0.

1. Klik tombol Unduh untuk mengunduh SpyHunter dengan aman.

Catatan : Saat memuat SpyHunter di PC Anda, browser Anda mungkin menampilkan peringatan palsu seperti “Jenis file ini dapat membahayakan komputer Anda. Apakah Anda masih ingin tetap menyimpan Download_Spyhunter-installer.exe?" Ingatlah bahwa ini adalah pesan penipuan yang sebenarnya disebabkan oleh infeksi PC. Anda sebaiknya mengabaikan pesan tersebut dan mengklik tombol "Simpan".

2. Jalankan SpyHunter-Installer.exe untuk menginstal SpyHunter menggunakan penginstal perangkat lunak Enigma.

3. Setelah instalasi selesai, dapatkan SpyHunter untuk memindai komputer Anda dan mencari secara mendalam untuk mendeteksi dan menghapus Wana Decrypt0r 2.0 dan file terkait. Malware atau program apa pun yang mungkin tidak diinginkan secara otomatis dipindai dan terdeteksi.

4. Klik tombol "Perbaiki ancaman" untuk menghapus semua ancaman komputer yang terdeteksi oleh SpyHunter.

Langkah 2: Gunakan RegHunter untuk Memaksimalkan Kinerja PC

1. Klik untuk mengunduh RegHunter bersama dengan SpyHunter

2. Jalankan RegHunter-Installer.exe untuk menginstal RegHunter melalui installer

Metode yang digunakan oleh alat penghapusan otomatis Wana Decrypt0r 2.0

Wana Decrypt0r 2.0 adalah infeksi malware tingkat lanjut, sehingga sangat sulit bagi perangkat lunak anti-malware untuk memperbarui deteksinya terhadap serangan malware tersebut. Tapi dengan alat penghapusan otomatis Wana Decrypt0r 2.0, tidak ada masalah seperti itu. Pemindai malware ini mendapatkan pembaruan rutin untuk definisi malware terbaru sehingga dapat memindai komputer Anda dengan sangat cepat dan menghapus semua jenis ancaman malware termasuk spyware, malware, trojan, dan sebagainya. Banyak survei dan pakar komputer mengklaim ini sebagai alat penghapus infeksi terbaik untuk semua versi PC Windows. Alat ini akan sepenuhnya menonaktifkan koneksi antara forensik cyber dan komputer Anda. Ini memiliki algoritma pemindaian yang sangat canggih dan proses penghapusan malware tiga langkah sehingga proses pemindaian serta penghapusan malware menjadi sangat cepat.

Dekripsi WannaCry ( atau WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0), sudah disebut sebagai “virus tahun 2017”. Dan sama sekali bukan tanpa alasan. Hanya dalam 24 jam pertama sejak penyebarannya, ransomware ini menginfeksi lebih dari 45.000 komputer. Beberapa peneliti percaya bahwa saat ini (15 Mei) lebih dari satu juta komputer dan server telah terinfeksi. Izinkan kami mengingatkan Anda bahwa virus ini mulai menyebar pada 12 Mei. Yang pertama terkena dampaknya adalah pengguna dari Rusia, Ukraina, India, dan Taiwan. Saat ini, virus tersebut menyebar dengan kecepatan tinggi di Eropa, Amerika Serikat, dan Tiongkok.

Informasi dienkripsi di komputer dan server lembaga pemerintah (khususnya Kementerian Dalam Negeri Rusia), rumah sakit, perusahaan transnasional, universitas, dan sekolah.

Wana Decryptor (Wanna Cry atau Wana Decrypt0r) melumpuhkan pekerjaan ratusan perusahaan dan lembaga pemerintah di seluruh dunia

Pada dasarnya, WinCry (WannaCry) adalah eksploitasi keluarga EternalBlue, yang menggunakan kerentanan yang cukup lama di sistem operasi Windows (Windows XP, Windows Vista, Windows 7, Windows 8 dan Windows 10) dan secara diam-diam memuat dirinya ke dalam sistem. Kemudian, dengan menggunakan algoritme tahan dekripsi, ia mengenkripsi data pengguna (dokumen, foto, video, spreadsheet, database) dan meminta uang tebusan untuk mendekripsi data tersebut. Skema ini bukanlah hal baru, kami terus-menerus menulis tentang jenis enkripsi file baru - tetapi metode distribusinya baru. Dan hal ini menyebabkan epidemi.

Gejala:

Setelah instalasi berhasil di PC pengguna, WannaCry mencoba menyebar melalui jaringan lokal ke PC lain seperti worm. File terenkripsi menerima ekstensi sistem .WCRY dan menjadi tidak dapat dibaca sama sekali dan tidak mungkin untuk mendekripsinya sendiri. Setelah enkripsi penuh, Wcry mengubah wallpaper desktop dan meninggalkan “instruksi” untuk mendekripsi file dalam folder dengan data terenkripsi.

Pada awalnya, para peretas memeras $300 untuk kunci dekripsi, tetapi kemudian menaikkan angka ini menjadi $600.

Bagaimana cara mencegah PC Anda terinfeksi ransomware WannaCry Decryptor?

Unduh pembaruan sistem operasi dari situs web Microsoft.

Apa yang harus dilakukan jika PC Anda terinfeksi?

Gunakan petunjuk di bawah ini untuk mencoba memulihkan setidaknya beberapa informasi pada PC yang terinfeksi. Perbarui antivirus Anda dan instal patch sistem operasi. Decryptor untuk virus ini belum ada di alam. Kami sangat tidak menyarankan membayar uang tebusan kepada penyerang - tidak ada jaminan, bahkan sedikit pun, bahwa mereka akan mendekripsi data Anda setelah menerima uang tebusan.

Hapus ransomware WannaCry menggunakan pembersih otomatis

Metode yang sangat efektif untuk menangani malware pada umumnya dan ransomware pada khususnya. Penggunaan kompleks pelindung yang telah terbukti menjamin deteksi menyeluruh terhadap komponen virus apa pun dan penghapusan lengkapnya hanya dengan satu klik. Harap dicatat bahwa kita berbicara tentang dua proses berbeda: menghapus instalasi infeksi dan memulihkan file di PC Anda. Namun, ancaman tersebut tentu perlu dihilangkan, karena ada informasi tentang masuknya Trojan komputer lain yang menggunakannya.

1. . Setelah memulai perangkat lunak, klik tombol Mulai Pemindaian Komputer(Mulai memindai). .
2. Perangkat lunak yang diinstal akan memberikan laporan tentang ancaman yang terdeteksi selama pemindaian. Untuk menghapus semua ancaman yang terdeteksi, pilih opsi Perbaiki Ancaman(Hilangkan ancaman). Malware yang dimaksud akan dihapus sepenuhnya.

Pulihkan akses ke file terenkripsi

Seperti disebutkan, ransomware no_more_ransom mengunci file menggunakan algoritme enkripsi yang kuat, sehingga data terenkripsi tidak dapat dipulihkan dengan mudah - kecuali membayar jumlah tebusan yang belum pernah ada sebelumnya. Namun beberapa metode benar-benar dapat menjadi penyelamat yang akan membantu Anda memulihkan data penting. Di bawah ini Anda dapat membiasakan diri dengan mereka.

Program pemulihan file otomatis (decryptor)

Suatu keadaan yang sangat tidak biasa diketahui. Infeksi ini menghapus file asli dalam bentuk tidak terenkripsi. Proses enkripsi untuk tujuan pemerasan menargetkan salinannya. Hal ini memungkinkan perangkat lunak seperti memulihkan objek yang terhapus, meskipun keandalan penghapusannya terjamin. Sangat disarankan untuk menggunakan prosedur pemulihan file; efektivitasnya tidak diragukan lagi.

Salinan bayangan volume

Pendekatan ini didasarkan pada proses pencadangan file Windows, yang diulangi pada setiap titik pemulihan. Kondisi penting agar metode ini berfungsi: fungsi "Pemulihan Sistem" harus diaktifkan sebelum infeksi. Namun, perubahan apa pun pada file yang dilakukan setelah titik pemulihan tidak akan muncul di versi file yang dipulihkan.

Cadangan

Ini adalah yang terbaik di antara semua metode non-tebusan. Jika prosedur untuk mencadangkan data ke server eksternal digunakan sebelum serangan ransomware di komputer Anda, untuk memulihkan file terenkripsi Anda hanya perlu masuk ke antarmuka yang sesuai, pilih file yang diperlukan dan luncurkan mekanisme pemulihan data dari cadangan. Sebelum melakukan operasi, Anda harus memastikan bahwa ransomware telah dihapus sepenuhnya.

Periksa kemungkinan komponen sisa ransomware WannaCry

Pembersihan manual berisiko menghilangkan setiap bagian ransomware yang dapat lolos dari penghapusan sebagai objek sistem operasi tersembunyi atau item registri. Untuk menghilangkan risiko penyimpanan sebagian elemen berbahaya individual, pindai komputer Anda menggunakan paket perangkat lunak keamanan andal yang khusus menangani perangkat lunak berbahaya.

Spesialis Quarkslab perusahaan Prancis Adrien Guinet melaporkan bahwa dia telah menemukan cara untuk mendekripsi data yang rusak akibat serangan ransomware. Sayangnya, metode ini hanya berfungsi untuk sistem operasi Windows XP dan tidak di semua kasus, tetapi lebih baik daripada tidak sama sekali.

Saya harus menyelesaikan proses dekripsi penuh, tetapi saya mengonfirmasi bahwa, dalam hal ini, kunci pribadi dapat dipulihkan pada sistem XP #ingin menangis!! pic.twitter.com/QiB3Q1NYpS

Guinier menerbitkan kode sumber untuk alat yang disebutnya WannaKey di GitHub. Faktanya, teknik peneliti didasarkan pada eksploitasi bug yang agak aneh dan kurang diketahui di Windows XP, yang bahkan pembuat malware ransomware sensasional pun tampaknya tidak mengetahuinya. Faktanya adalah, dalam keadaan tertentu, dimungkinkan untuk mengekstrak kunci yang diperlukan untuk "menyelamatkan" file dari memori mesin yang menjalankan XP.

Peneliti menjelaskan bahwa selama operasi, ransomware menggunakan Windows Crypto API dan menghasilkan sepasang kunci - kunci publik, yang digunakan untuk mengenkripsi file, dan kunci pribadi, yang dapat digunakan untuk mendekripsi file setelah membayar uang tebusan. Untuk mencegah korban mendapatkan kunci pribadi dan mendekripsi data terlebih dahulu, pembuat WannaCry mengenkripsi kunci itu sendiri, sehingga hanya tersedia setelah pembayaran.

Setelah kunci dienkripsi, versi yang tidak terenkripsi akan dihapus menggunakan fungsi CryptReleaseContext standar, yang secara teori juga akan menghapusnya dari memori mesin yang terinfeksi. Namun, Guinier mencatat bahwa hal ini tidak terjadi, hanya "penanda" yang menunjuk ke kunci tersebut yang dihapus.

Spesialis menulis bahwa adalah mungkin untuk mengekstrak kunci pribadi dari memori. Guinier sendiri melakukan serangkaian tes dan berhasil mendekripsi file di beberapa komputer terinfeksi yang menjalankan Windows XP. Namun, peneliti menulis bahwa agar hasil operasi berhasil, sejumlah syarat harus dipenuhi. Karena kunci hanya disimpan dalam memori yang mudah menguap, Anda harus waspada tidak hanya terhadap fakta bahwa proses apa pun dapat secara tidak sengaja menimpa data di atas kunci dan memori akan didistribusikan kembali, tetapi Anda juga tidak boleh mematikan dan menghidupkan ulang komputer. setelah infeksi.

“Jika beruntung, Anda akan dapat mengakses area memori ini dan memulihkan kuncinya. Itu mungkin masih ada dan Anda dapat menggunakannya untuk mendekripsi file Anda. Namun hal ini tidak berhasil di semua kasus,” tulis peneliti.

Tidak diketahui berapa banyak komputer yang menjalankan Windows XP yang terinfeksi WannaCry, dan berapa persentase pengguna yang tidak pernah melakukan boot ulang atau mematikan PC mereka setelah terinfeksi. Izinkan saya mengingatkan Anda bahwa secara total ratusan ribu mesin terkena serangan ransomware di lebih dari seratus negara di seluruh dunia. Meski begitu, Guinier berharap tekniknya dapat bermanfaat setidaknya bagi sebagian pengguna.

Pakar lain telah mengkonfirmasi bahwa secara teori instrumen Guinier dapat berfungsi. Oleh karena itu, kriptografer terkenal dan profesor di Universitas Johns Hopkins Matthew Green menulis bahwa metode ini seharusnya berhasil, meskipun dalam keadaan saat ini semuanya lebih terlihat seperti lotere. Spesialis terkenal lainnya, seorang karyawan perusahaan F-Secure, Mikko Hypponen, mengajukan pertanyaan “mengapa menggunakan fungsi yang tidak menghancurkan kunci untuk menghancurkan kunci?”, Namun, dia setuju bahwa bug tersebut dapat digunakan untuk memulihkan terenkripsi file.