واناکراي، باج افزار مخربي که هزاران رايانه را در سراسر دنيا قرباني خود کرده بود، با تلاش محققين رمزگشايي شد.
به گزارش پایداری ملی، بر اساس برآوردهايي که تاکنون صورت گرفته است، بيش از ۲۰۰ هزار رايانه در ۱۵۰ کشور جهان موردحملهي باج افزار واناکراي (WannaCry Ransomware) واقع شدهاند که از جمله قربانيان اين حملهي سايبري ميتوان به مراکز مهمي همچون سازمان ملي خدمات بهداشت انگليس و وزارت کشور روسيه اشاره کرد. پس از خسارات گستردهاي که اين باج افزار در پي داشت، اکنون اميدها براي حل اين بحران بيشتر شده است.
ميزان گستردگي حملات باج افزار Wannacry
روز جمعه ۱۹ مي، ابزاري منتشر شده است که به گفتهي محققين، ميتواند بسياري از رايانههاي آلوده به اين باج افزار را بدون پرداخت مبلغ باج رمزگشايي کند. اين برنامه قادر خواهد بود اطلاعات رايانههاي آلوده به اين باج افزار که از سيستمعاملهاي ويندوز XP ،7 و ۲۰۰۳ استفاده ميکنند، بازيابي کند. همچنين به گفتهي يکي از محققان که در ساخت اين برنامه مشارکت داشته است، اين امکان وجود دارد که ابزار منتشرشده بتواند روي ديگر نسخههاي ويندوز همچون ويندوز سرور ۲۰۰۸، R2 ۲۰۰۸ و ويستا نيز عملکرد درستي داشته باشد. اين برنامه، موسوم به WannaKiwi، بر پايهي ابزاري که پيشازاين و با نام واناکي منتشرشده بود، کليد رمز را پيدا ميکند. WannaKey، در روز ۱۸ مي بهمنظور استخراج اطلاعات لازم براي ساخت کليد رمزنگاري در سيستمعاملهاي XP منتشر شد؛ ولي اين ابزار نيازمند برنامهي جداگانهاي براي تبديل بيتهاي استخراجشده به کليد رمزگشايي است.
مت سوييش، از بنيانگذاران شرکت امنيت سايبري Comae Technologies، در توسعه و ارزيابي واناکيوي همکاري داشته و اعلام کرده است که اين برنامه بهدرستي کار ميکند و جزئيات فني آن را نيز براي عموم منتشر کرده است. همچنين يورو پل و آژانس مجري قانون اتحاديه اروپا هم اين برنامه را تأييد کردهاند.
همچون واناکي، واناکيوي نيز از نقايص موجود در رابط برنامهنويسي برنامههاي رمزنگاري مايکروسافت بهره ميجويد؛ واناکراي و ديگر برنامههاي کاربردي ويندوز هم از اين رابط براي ساخت کليدهاي رمزنگاري و رمزگشايي استفاده ميکنند. اين رابط داراي توابعي براي پاک کردن کليدهاي ساختهشده، از حافظهي کامپيوتر است؛ ولي نقصهاي اين رابط باعث ميشود گاهي اعداد اولي که براي ساخت کليد از آنها استفاده ميشود، در حافظه باقي بمانند. اين اعداد را تا زماني که رايانه خاموش نشده باشد يا آن قسمت از حافظه با مقدار جديدي بازنويسي نشده باشد، ميتوان بازيابي کرد.
واناکيوي با جستجوي حافظه و يافتن مقادير p و q که کليد رمزنگاري بر پايهي آنها ساختهشده است، کليد را بازيابي و سپس با استفاده از آن، فايلهاي قفلشده توسط باج افزار واناکراي را رمزگشايي ميکند.
بنجامين دلپي، يکي از توسعهدهندگان واناکيوي اينگونه بيان ميکند که ابزار موجود تاکنون توانسته است رايانههاي زيادي را رمزگشايي کند که برخي داراي سيستمعامل ۷ و ۲۰۰۳ بودهاند. او معتقد است که ديگر نسخههاي ويندوز نيز ميتوانند بهگونهاي مشابه بازيابي شوند. همچنين واناکيوي مزيتهايي نسبت به واناکي دارد، ازجمله رابط کاربري ساده و قابليت توليد کليد رمزگشايي بدون نياز به هيچ ابزار ديگري.
دلپي اينگونه بيان ميکند:
براي بازيابي فايلهاي خود، برنامهي واناکيوي را دانلود کنيد. اگر کليد رمزگشايي قابل بازيابي باشد، اين برنامه آن را استخراج و شروع به رمزگشايي تمام فايلهاي قفلشده از هارد ديسکتان ميکند، درست مانند زماني که مبلغ باج را پرداخت کرده باشيد. بااينحال در بسياري از موارد اين کليد قابليت بازيابي ندارد و شانس کمي براي اين کار وجود دارد.
ابزار واناکيوي در حال بازگشايي فايلهاي رمزنگاري شده
ابزار واناکيوي را ميتوانيد از اينجا دانلود کنيد (از آنجايي که اين برنامه توسط ما تست نشده است، هرگونه پيشامد احتمالي بر عهدهي خودتان است و زوميت مسئوليتي بر عهده نميگيرد).
بايد توجه داشته باشيد اگر سيستم ريستارت شده باشد يا مکاني از حافظه که اطلاعات لازم براي بازيابي کليد ذخيرهشده است، با دادههاي جديدي بازنويسي شده باشد؛ اين برنامهي رمزگشا همچون واناکي قادر به يافتن کليد و بازيابي اطلاعات نخواهد بود. واناکيوي هنوز بهصورت گسترده روي رايانههايي با پردازندههاي ۶۴ بيتي تست نشده است؛ لذا اين امکان وجود دارد که عملکرد آن بر اين رايانهها با مشکلاتي همراه باشد. با وجود تمام محدوديتهايي که اين برنامهي رمزگشا دارد، واناکيوي پيشرفتي بزرگ در مسير جبران خسارات وارده و کمکي ارزشمند براي حل مشکل بسياري از مردم محسوب ميشود.