檔案被鎖想哭？微軟舊系統的漏洞，竟然能幫忙「搶救」加密檔案

勒索病毒「想哭」（WannaCry）令不少使用微軟舊款作業系統的電腦中招，災情嚴重到微軟要推出緊急安全更新，以免更多Windows XP的使用者感染病毒。

這次「想哭」病毒散播，凸顯出繼續使用舊作業系統的安全問題。即使微軟早於2014年4月已經停止繼續支援，仍有大約5%用戶的電腦使用將近16歲的Windows XP系統。不過，Windows XP上的一個漏洞，反而可能讓電腦被病毒綁架的受害者能夠取回密碼金鑰，解鎖檔案。

法國資訊安全研究員基奈（Adrien Guinet）日前在軟體原始碼代管服務公司GitHub上放了一個軟體——「想鑰」（WannaKey），聲稱可以為部份Windows XP的受害者復原檔案，但不適用於其他版本的Windows，而且不保證成功。

基奈指出，他在安裝了Windows XP、感染「想哭」病毒的電腦上多次測試，都成功的以「想鑰」軟體取得加密檔案用的密碼金鑰，從而解鎖檔案。

基奈表示，「想鑰」軟體是利用微軟加密程式的漏洞取得密碼。當「想哭」病毒加密檔案時，會先產生一對密碼金鑰（「公鑰」用作加密檔案、「私鑰」則用來解密——假如受害者付贖金，但黑客也不一定會因此交密碼金鑰）。為阻止受害者取得金鑰來解密檔案，「想哭」病毒會把金鑰加密，只有操控者能拿得到金鑰密碼。

然而基奈發現，一個由微軟設計的刪除功能「CryptReleaseContext」會清除記憶體中未加密的私鑰。問題是在Windows XP中，這個功能不會真正在記憶體中刪除私鑰數據，讓他有機會「搶救」私鑰（其他版本的Windows已不會有這個問題）。

假如你是勒索病毒的受害者，同時也是使用Windows XP，也先別高興得太早，因為「想鑰」是從記憶體中尋找資料，如果感染病毒後曾經關機，關機後記憶體的數據就會消失，「想鑰」也愛莫能助。不過即使你沒有關機，記憶體中記錄密鑰的位置仍有可能被其他程式覆寫，「想鑰」也無法保證一定能成功破解密鑰。

現在還不能確認「想鑰」軟體是否有效，GitHub網站上目前只有一名用戶留言，表示使用「想鑰」第一版成功，第二版則失敗；另一資訊安全研究員蘇伊切（Matt Suiche）則表示他在初步測試中無法解密檔案。研究資訊加密的學者葛林（Matthew Green）則認為，「想鑰」軟體看起來有效，但他提醒受害者，能否成功有部份取決於機率，就像幸運抽獎一樣。

無論如何，Windows XP的用戶都應該盡快更新其作業系統，這次的「解決方法」也是因為系統的另一漏洞。至於使用其他Windows版本的受害者，雖然可以繼續等下去（如果受感染後不曾關機），但一般而言取回密鑰解鎖檔案的機會不大。

相關文章︰

• 不用數學，一張圖了解公鑰加密法原理
• WannaCry令多人中招，背後的黑客卻無法賺大錢
• 勒索病毒肆虐，微軟批情報部門「囤積」漏洞
• 「殭屍網絡」大戰︰入侵是為了保護你的裝置？

資料來源︰

• WannaKey
• A WannaCry Flaw Could Help Some Windows XP Victims Get Files Back (Wired)
• Windows XP PCs infected by WCry can be decrypted without paying ransom (Ars Technica)
• Tool Released to Recover Private Key for WannaCry on Windows XP (On the Wire)
• Security researcher says he's figured out how to decrypt WannaCry (Mashable)