時間:2017-05-21 來源:互聯網 瀏覽量:
WannaCry上周五開始肆虐全球,在150個國家感染了超過30萬台計算機。其發布者威脅稱,對於其計算機被感染後一周內仍沒有支付300美元至600美元的受害者,將讓他們無法訪問其被鎖定的文件。
一個由分散在全球的網絡安全研究人員組成的一個組織鬆散的團隊表示,為破解被WannaCry鎖定文件的加密密鑰,他們通過合作已經找到一個解決方案。這一消息被幾位獨立的安全研究人員所證實。
研究人員警告稱,他們的解決方案隻能在某些條件下有效,即計算機自被感染以來沒有被重啟,同時受害者要在文件被永久性鎖定之前使用該修複工具。
歐洲刑警組織在Twitter上表示,歐洲網絡犯罪中心對該團隊開發的新工具進行了測試,發現“在某些情況下可以恢複數據”。
該團隊的成員包括法國網絡安全專家阿德裏安·古奈特(Adrien Guinet)、國際知名黑客馬特?蘇伊切(Matthieu Suiche),以及法國業餘安全研究員本傑明·德爾皮(Benjamin Delpy),後者在法蘭西銀行工作,利用夜間幫忙解決網絡安全問題。
德爾皮稱:“我們知道我們必須爭分奪秒,因為隨著時間的推移,恢複(被感染文件)的機會就越來越少。”在度過本周第二個不眠之夜後,他得以在巴黎時間周五早上6點發布一個可行的方法來解密被WannaCry鎖定的文件。
對這款不需支付贖金而能解密被感染電腦的免費工具,德爾皮將其命名為“Wanakiwi”。
蘇伊切發表了一篇博客文章,總結了“Wanakiwi”的技術細節,並正加緊與受WannaCry影響的組織的技術人員分享。
他表示,通過快速測試,顯示“Wanakiwi”對Windows 7和更早版本的Windows XP和Windows 2003版本有效。他補充說,他相信這款匆忙開發的修複軟件也適用於Windows 2008和Windows Vista,意味著可涵蓋全部受影響的計算機。
蘇伊切通過Twitter上的“直接消息(direct message)”告訴路透社:“(該方法)應該適用於從Windows XP到Windows 7的任何操作係統,”。
他補充說,到目前為止,來自歐洲幾個國家和印度的銀行、能源和一些政府情報機構已經就修複問題聯係了他。
古奈特是巴黎網絡安全公司Quarkslab的安全研究員,他於周三和周四晚些時候發布了解密被WannaCry鎖定文件的理論性技術。德爾皮也在巴黎,他發現可以將該技術變為一個能挽救被WannaCry鎖定的文件的實用工具。
目前身在迪拜的蘇伊切是世界頂級的獨立安全研究人員之一,他提供了有關建議和測試,以確保“Wanakiwi”在各種版本的Windows上都有效。
他的博客文章提供了德爾皮的“Wanakiwi”解密工具的鏈接,該工具基於古奈特最初提出的概念。古奈特的想法包括使用素數提取WannaCry加密代碼的密鑰,而不是試圖破壞該惡意軟件完整加密密鑰背後無限可能的一係列數字。
蘇伊切稱:“這不是一個完美的解決方案。但是到目前為止,這是幫助企業恢複文件的唯一可行解決方案,前提是文件已被感染但沒有備份。這可以讓用戶在不支付贖金的情況下恢複數據。”
根據網絡公司Kryptos Logic提供的數據,截至本周三,受WannaCry感染的全球互聯網地址中有一半位於中國和俄羅斯,分別占30%和20%。
Kryptos Logic稱,相比之下,在受感染的全球互聯網地址中,美國所占比例僅為7%,英國、法國和德國則均為2%。
截止周五,在WannaCry病毒爆發的七天內,WannaCry的訛詐帳戶似乎隻收到309筆付款,價值約9.4萬美元。
這不到估計受害者的千分之一。
這可能反映了安全專家說的各種因素,包括懷疑攻擊者將履行其承諾的疑慮,或一些組織有備份存儲計劃,允許他們在不支付贖金的情況下有恢複數據的可能性。