واناکرای، باج افزار مخربی که هزاران رایانه را در سراسر دنیا قربانی خود کرده بود، با تلاش محققین رمزگشایی شد.
بر اساس برآوردهایی که تاکنون صورت گرفته است، بیش از ۲۰۰ هزار رایانه در ۱۵۰ کشور جهان موردحملهی باج افزار واناکرای (WannaCry Ransomware) واقع شدهاند که از جمله قربانیان این حملهی سایبری میتوان به مراکز مهمی همچون سازمان ملی خدمات بهداشت انگلیس و وزارت کشور روسیه اشاره کرد. پس از خسارات گستردهای که این باج افزار در پی داشت، اکنون امیدها برای حل این بحران بیشتر شده است.
میزان گستردگی حملات باج افزار Wannacry
روز جمعه ۱۹ می، ابزاری منتشر شده است که به گفتهی محققین، میتواند بسیاری از رایانههای آلوده به این باج افزار را بدون پرداخت مبلغ باج رمزگشایی کند. این برنامه قادر خواهد بود اطلاعات رایانههای آلوده به این باج افزار که از سیستمعاملهای ویندوز XP ،7 و ۲۰۰۳ استفاده میکنند، بازیابی کند. همچنین به گفتهی یکی از محققان که در ساخت این برنامه مشارکت داشته است، این امکان وجود دارد که ابزار منتشرشده بتواند روی دیگر نسخههای ویندوز همچون ویندوز سرور ۲۰۰۸، R2 ۲۰۰۸ و ویستا نیز عملکرد درستی داشته باشد. این برنامه، موسوم به WannaKiwi، بر پایهی ابزاری که پیشازاین و با نام واناکی منتشرشده بود، کلید رمز را پیدا میکند. WannaKey، در روز ۱۸ می بهمنظور استخراج اطلاعات لازم برای ساخت کلید رمزنگاری در سیستمعاملهای XP منتشر شد؛ ولی این ابزار نیازمند برنامهی جداگانهای برای تبدیل بیتهای استخراجشده به کلید رمزگشایی است.
مت سوییش، از بنیانگذاران شرکت امنیت سایبری Comae Technologies، در توسعه و ارزیابی واناکیوی همکاری داشته و اعلام کرده است که این برنامه بهدرستی کار میکند و جزئیات فنی آن را نیز برای عموم منتشر کرده است. همچنین یورو پل و آژانس مجری قانون اتحادیه اروپا هم این برنامه را تأیید کردهاند.
همچون واناکی، واناکیوی نیز از نقایص موجود در رابط برنامهنویسی برنامههای رمزنگاری مایکروسافت بهره میجوید؛ واناکرای و دیگر برنامههای کاربردی ویندوز هم از این رابط برای ساخت کلیدهای رمزنگاری و رمزگشایی استفاده میکنند. این رابط دارای توابعی برای پاک کردن کلیدهای ساختهشده، از حافظهی کامپیوتر است؛ ولی نقصهای این رابط باعث میشود گاهی اعداد اولی که برای ساخت کلید از آنها استفاده میشود، در حافظه باقی بمانند. این اعداد را تا زمانی که رایانه خاموش نشده باشد یا آن قسمت از حافظه با مقدار جدیدی بازنویسی نشده باشد، میتوان بازیابی کرد.
واناکیوی با جستجوی حافظه و یافتن مقادیر p و q که کلید رمزنگاری بر پایهی آنها ساختهشده است، کلید را بازیابی و سپس با استفاده از آن، فایلهای قفلشده توسط باج افزار واناکرای را رمزگشایی میکند.
بنجامین دلپی، یکی از توسعهدهندگان واناکیوی اینگونه بیان میکند که ابزار موجود تاکنون توانسته است رایانههای زیادی را رمزگشایی کند که برخی دارای سیستمعامل ۷ و ۲۰۰۳ بودهاند. او معتقد است که دیگر نسخههای ویندوز نیز میتوانند بهگونهای مشابه بازیابی شوند. همچنین واناکیوی مزیتهایی نسبت به واناکی دارد، ازجمله رابط کاربری ساده و قابلیت تولید کلید رمزگشایی بدون نیاز به هیچ ابزار دیگری.
دلپی اینگونه بیان میکند:
برای بازیابی فایلهای خود، برنامهی واناکیوی را دانلود کنید. اگر کلید رمزگشایی قابل بازیابی باشد، این برنامه آن را استخراج و شروع به رمزگشایی تمام فایلهای قفلشده از هارد دیسکتان میکند، درست مانند زمانی که مبلغ باج را پرداخت کرده باشید. بااینحال در بسیاری از موارد این کلید قابلیت بازیابی ندارد و شانس کمی برای این کار وجود دارد.
ابزار واناکیوی در حال بازگشایی فایلهای رمزنگاری شده
ابزار واناکیوی را میتوانید از
اینجا دانلود کنید (از آنجایی که این برنامه توسط ما تست نشده است، هرگونه پیشامد احتمالی بر عهدهی خودتان است و زومیت مسئولیتی بر عهده نمیگیرد).
باید توجه داشته باشید اگر سیستم ریستارت شده باشد یا مکانی از حافظه که اطلاعات لازم برای بازیابی کلید ذخیرهشده است، با دادههای جدیدی بازنویسی شده باشد؛ این برنامهی رمزگشا همچون واناکی قادر به یافتن کلید و بازیابی اطلاعات نخواهد بود. واناکیوی هنوز بهصورت گسترده روی رایانههایی با پردازندههای ۶۴ بیتی تست نشده است؛ لذا این امکان وجود دارد که عملکرد آن بر این رایانهها با مشکلاتی همراه باشد. با وجود تمام محدودیتهایی که این برنامهی رمزگشا دارد، واناکیوی پیشرفتی بزرگ در مسیر جبران خسارات وارده و کمکی ارزشمند برای حل مشکل بسیاری از مردم محسوب میشود.