باج افزار جدید : ابزار رمزگشایی برای باج‌ افزار جدید «گریه» منتشر شد؛ پرونده‌ها را بدون پرداخت باج رمزگشایی کنید !

#امنیت ؛ در این مقاله به معرفی و بررسی ابزار رمزگشایی برای باج افزار جدید گریه که به تازگی منتشر شده است می پردازیم . با ما همراه باشید : 

 

اگر جزو کسانی هستید که به باج‌افزار «گریه» آلوده شده‌اید، باید خبر خوبی را به شما اعلام کنیم. در حال حاضر ابزار رمزگشایی برای این باج‌افزار منتشر شده است و دیگر لازم نیست قربانیان برای بازیابی پرونده‌های خود به مهاجمان باج پرداخت کنند.

 

محقق فرانسوی به نام آدرین گیونت از شرکت Quarkslab، روشی را کشف کرد که به‌طور رایگان می‌توان کلیدهای رمزگشایی در باج‌افزار «گریه» را بدست آورد. گفتنی است این ابزار بر روی سامانه عامل‌های ویندوز ایکس‌پی، ویندوز ویستا، کارگزار ویندوز ۲۰۰۳ و ۲۰۰۸ کار می‌کند.

 

کلیدهای رمزگشایی باج‌ افزار جدید «گریه»
در رمزنگاری توسط باج‌افزار «گریه» با استفاده از اعداد اول، جفت کلیدهای عمومی و خصوصی برای رمزنگاری و رمزگشایی پرونده‌ها بر روی سامانه‌ی قربانی تولید می‌شود. باج‌افزار برای اینکه از دسترسی قربانی به کلید خصوصی و رمزگشایی پرونده‌ها جلوگیری کند، به‌طور کلی کلید خصوصی را از روی سامانه‌ی قربانی پاک می‌کند.

 

باج افزار جدید : ابزار رمزگشایی برای باج‌ افزار جدید «گریه»
باج افزار جدید : ابزار رمزگشایی برای باج‌ افزار جدید «گریه»  باج افزار جدید : ابزار رمزگشایی برای باج‌ افزار جدید «گریه» منتشر شد؛ پرونده‌ها را بدون پرداخت باج رمزگشایی کنید !
روشی برای پیدا کردن کلیدهای رمزگشایی: هرچند که باج‌افزار کلید خصوصی را از روی سامانه‌ی قربانی پاک می‌کند ولی اعداد اولی که برای تولید کلیدها مورد استفاده قرار گرفته بود، بر روی حافظه‌ی سامانه باقی می‌ماند. با توجه به این مسئله گیونت توانست ابزار رمزگشایی برای این باج‌افزار را با نام کلیدِ وانا «WannaKey» ارائه دهد. این ابزار اعداد اول را از حافظه‌ی سامانه بازیابی کرده و با استفاده از آن کلیدهای رمزگشایی را تولید می‌کند. این ابزار صرفاً بر روی سامانه عامل ویندوز ایکس‌پی عمل می‌کند.

 

این محقق در مورد این ابزار توضیح داد: «عملکرد این ابزار مبتنی بر جستجو در فرآیند wcry.exe است. این همان فرآیندی است که کلیدهای خصوصی RSA را تولید می‌کند. اشکال اصلی که در این باج‌افزار وجود دارد این است که توابع CryptDestroyKey و CryptReleaseContext قبل از آزادسازی فضای حافظه، اعداد اول را حذق نمی‌کنند.»

 

بنابراین نتیجه‌گیری که می‌توان داشت این است که:
• این ابزار تنها بر روی سامانه‌هایی عملیاتی است که پس از آلوده شدن به باج‌افزار، مجدداً راه‌اندازی نشده باشند.
• حافظه‌ی مربوط به فرآیند باج‌افزار آزاد نشده و به فرآیند دیگری تخصیص داده نشده باشد.

 

ابزار واناکی‌وی: ابزاری برای رمزگشایی باج‌ افزار جدید «گریه»
خبر خوب دیگری که داریم این است که یک محقق امنیتی دیگر به نام بنجامین دل‌پی ابزاری با نام واناکی‌وی (WanaKiwi) را منتشر کرده که استفاده از آن بسیار راحت است. در این ابزار نیز از یافته‌های گیونت استفاده شده است. تمامی کاربرانی که تحت تأثیر این باج‌افزار قرار گرفته‌اند، می‌توانند این ابزار را از روی گیت‌هاب بارگیری و نصب نمایند و برای اجرا نیز باید از خطِ فرمان ویندوز استفاده کنند.

 

گفتنی است ابزار وانا‌کی‌وی بر روی سامانه عامل‌های ویندوز ایکس‌پی، ویندوز ۷، ویندوز ویستا و کارگزار ویندوز ۲۰۰۳ و ۲۰۰۸ به‌خوبی کار می‌کند. هرچند به دلیل برخی محدودیت‌ها و وابستگی‌هایی که این ابزار رمزگشایی دارد، ممکن است برای تمامی کاربران به خوبی کار نکند ولی به هرحال خبر امیدوارکننده‌ای برای کاربرانی است که تحت تأثیر این باج‌افزار قرار گرفته‌اند.

 

مقالات مرتبط :

 

عامل انتشار باج افزار گریه ، یک گروه نفوذی وابسته به کره شمالی
معرفی باج افزار جدید : آنچه باید در رابطه با باج افزار جدید ( گریه ) بدانید :

 

پیمان قربانزاده
پیمان قربانزاده
با سلام . پیمان قربانزاده هستم . مدیر سایت پویا سیستم . من و تمام مجموعه پویا سیستم خوشحال می شویم که به شما در زمینه مشکلات نرم افزاری که دارید . کمک کنیم . پس با ما در ارتباط باشید .

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *