檔案被鎖想哭?微軟舊系統的漏洞,竟然能幫忙「搶救」加密檔案

檔案被鎖想哭?微軟舊系統的漏洞,竟然能幫忙「搶救」加密檔案
Photo Credit: Joe Cavaretta / AP Photo / 達志影像
我們想讓你知道的是

「想哭」病毒加密檔案時,會先產生一對密碼金鑰,「公鑰」用作加密檔案、「私鑰」則用來解密。為阻止受害者取得金鑰來解密檔案,「想哭」病毒會把金鑰加密,僅讓其操控者取得。而「想鑰」軟體就是利用微軟加密程式的漏洞來取得密碼。

唸給你聽
powered by Cyberon

勒索病毒「想哭」(WannaCry)令不少使用微軟舊款作業系統的電腦中招,災情嚴重到微軟要推出緊急安全更新,以免更多Windows XP的使用者感染病毒。

這次「想哭」病毒散播,凸顯出繼續使用舊作業系統的安全問題。即使微軟早於2014年4月已經停止繼續支援,仍有大約5%用戶的電腦使用將近16歲的Windows XP系統。不過,Windows XP上的一個漏洞,反而可能讓電腦被病毒綁架的受害者能夠取回密碼金鑰,解鎖檔案。

法國資訊安全研究員基奈(Adrien Guinet)日前在軟體原始碼代管服務公司GitHub上放了一個軟體——「想鑰」(WannaKey),聲稱可以為部份Windows XP的受害者復原檔案,但不適用於其他版本的Windows,而且不保證成功。

基奈指出,他在安裝了Windows XP、感染「想哭」病毒的電腦上多次測試,都成功的以「想鑰」軟體取得加密檔案用的密碼金鑰,從而解鎖檔案。

基奈表示,「想鑰」軟體是利用微軟加密程式的漏洞取得密碼。當「想哭」病毒加密檔案時,會先產生一對密碼金鑰(「公鑰」用作加密檔案、「私鑰」則用來解密——假如受害者付贖金,但黑客也不一定會因此交密碼金鑰)。為阻止受害者取得金鑰來解密檔案,「想哭」病毒會把金鑰加密,只有操控者能拿得到金鑰密碼。

然而基奈發現,一個由微軟設計的刪除功能「CryptReleaseContext」會清除記憶體中未加密的私鑰。問題是在Windows XP中,這個功能不會真正在記憶體中刪除私鑰數據,讓他有機會「搶救」私鑰(其他版本的Windows已不會有這個問題)。

假如你是勒索病毒的受害者,同時也是使用Windows XP,也先別高興得太早,因為「想鑰」是從記憶體中尋找資料,如果感染病毒後曾經關機,關機後記憶體的數據就會消失,「想鑰」也愛莫能助。不過即使你沒有關機,記憶體中記錄密鑰的位置仍有可能被其他程式覆寫,「想鑰」也無法保證一定能成功破解密鑰。

現在還不能確認「想鑰」軟體是否有效,GitHub網站上目前只有一名用戶留言,表示使用「想鑰」第一版成功,第二版則失敗;另一資訊安全研究員蘇伊切(Matt Suiche)則表示他在初步測試中無法解密檔案。研究資訊加密的學者葛林(Matthew Green)則認為,「想鑰」軟體看起來有效,但他提醒受害者,能否成功有部份取決於機率,就像幸運抽獎一樣。

無論如何,Windows XP的用戶都應該盡快更新其作業系統,這次的「解決方法」也是因為系統的另一漏洞。至於使用其他Windows版本的受害者,雖然可以繼續等下去(如果受感染後不曾關機),但一般而言取回密鑰解鎖檔案的機會不大。

相關文章︰

資料來源︰

或許你會想看
更多『新聞』文章 更多『科技』文章 更多『Kayue』文章
Loader