واناکرای، باج افزار مخربی که هزاران رایانه را در سراسر دنیا قربانی خود کرده بود، با تلاش محققین رمزگشایی شد.
بر اساس برآوردهایی که تاکنون صورت گرفته است، بیش از ۲۰۰ هزار رایانه در ۱۵۰ کشور جهان موردحملهی باج افزار واناکرای (WannaCryRansomware) واقع شدهاند، که از جمله قربانیان این حملهی سایبری میتوان به مراکز مهمی همچون سازمان ملی خدمات بهداشت انگلیس و وزارت کشور روسیه اشاره کرد.
پس از خسارات گستردهای که این باج افزار در پی داشت، اکنون امیدها برای حل این بحران بیشتر شده است.
روز جمعه ۱۹ می، ابزاری منتشر شده است که به گفتهی محققین، میتواند بسیاری از رایانههای آلوده به این باج افزار را بدون پرداخت مبلغ باج رمزگشایی کند. این برنامه قادر خواهد بود اطلاعات رایانههای آلوده به این باج افزار که از سیستمعاملهای ویندوزXP ،۷ و ۲۰۰۳ استفاده میکنند، بازیابی کند. همچنین به گفتهی یکی از محققان که در ساخت این برنامه مشارکت داشته است، این امکان وجود دارد که ابزار منتشر شده بتواند روی دیگر نسخههای ویندوز همچون ویندوز سرور ۲۰۰۸، R2 2008 و ویستا نیز عملکرد درستی داشته باشد.
این برنامه، موسوم به WannaKiwi، بر پایهی ابزاری که پیش از این و با نام واناکی منتشر شده بود، کلید رمز را پیدا میکند. WannaKey، در روز ۱۸ می بهمنظور استخراج اطلاعات لازم برای ساخت کلید رمزنگاری در سیستمعاملهای XP منتشر شد؛ ولی این ابزار نیازمند برنامهی جداگانهای برای تبدیل بیتهای استخراجشده به کلید رمزگشایی است.
مت سوییش، از بنیانگذاران شرکت امنیت سایبری Comae Technologies، در توسعه و ارزیابی واناکیوی همکاری داشته و اعلام کرده است که این برنامه بهدرستی کار میکند و جزئیات فنی آن را نیز برای عموم منتشر کرده است. همچنین یورو پل و آژانس مجری قانون اتحادیه اروپا هم این برنامه را تأیید کردهاند.
همچون واناکی، واناکیوی نیز از نقایص موجود در رابط برنامهنویسی برنامههای رمزنگاری مایکروسافت بهره میجوید؛ واناکرای و دیگر برنامههای کاربردی ویندوز هم از این رابط برای ساخت کلیدهای رمزنگاری و رمزگشایی استفاده میکنند. این رابط دارای توابعی برای پاک کردن کلیدهای ساختهشده، از حافظهی کامپیوتر است؛ ولی نقصهای این رابط باعث میشود گاهی اعداد اولی که برای ساخت کلید از آنها استفاده میشود، در حافظه باقی بمانند. این اعداد را تا زمانی که رایانه خاموش نشده باشد یا آن قسمت از حافظه با مقدار جدیدی بازنویسی نشده باشد، میتوان بازیابی کرد.
واناکیوی با جستجوی حافظه و یافتن مقادیر p و q که کلید رمزنگاری بر پایهی آنها ساخته شده است، کلید را بازیابی و سپس با استفاده از آن، فایلهای قفلشده توسط باج افزار واناکرای را رمزگشایی میکند.
بنجامین دلپی، یکی از توسعهدهندگان واناکیوی اینگونه بیان میکند که ابزار موجود تاکنون توانسته است رایانههای زیادی را رمزگشایی کند که برخی دارای سیستمعامل ۷ و ۲۰۰۳ بودهاند. او معتقد است که دیگر نسخههای ویندوز نیز میتوانند بهگونهای مشابه بازیابی شوند. همچنین واناکیوی مزیتهایی نسبت به واناکی دارد، ازجمله رابط کاربری ساده و قابلیت تولید کلید رمزگشایی بدون نیاز به هیچ ابزار دیگری.
دلپی اینگونه بیان میکند: برای بازیابی فایلهای خود، برنامهی واناکیوی را دانلود کنید. اگر کلید رمزگشایی قابل بازیابی باشد، این برنامه آن را استخراج و شروع به رمزگشایی تمام فایلهای قفلشده از هارد دیسکتان میکند، درست مانند زمانی که مبلغ باج را پرداخت کرده باشید. بااینحال در بسیاری از موارد این کلید قابلیت بازیابی ندارد و شانس کمی برای این کار وجود دارد.
باید توجه داشته باشید اگر سیستم ریستارت شده باشد یا مکانی از حافظه که اطلاعات لازم برای بازیابی کلید ذخیره شده است، با دادههای جدیدی بازنویسی شده باشد؛ این برنامهی رمزگشا همچون واناکی قادر به یافتن کلید و بازیابی اطلاعات نخواهد بود. واناکیوی هنوز بهصورت گسترده روی رایانههایی با پردازندههای ۶۴ بیتی تست نشده است؛ لذا این امکان وجود دارد که عملکرد آن در این رایانهها با مشکلاتی همراه باشد. با وجود تمام محدودیتهایی که این برنامهی رمزگشا دارد، واناکیوی پیشرفتی بزرگ در مسیر جبران خسارات وارده و کمکی ارزشمند برای حل مشکل بسیاری از مردم محسوب میشود.
منبع: ARSTECHNICA