「WannaCrypt」の復号キーをメモリから取得する「WannaKey」
ランサムウェア「WannaCrypt」の復号キーを取得するツール「WannaKey」が公開されている。運良く条件が揃えば復号が可能だという。
同ツールは、「WannaCrypt」のプロセスが動作するメモリ上から、暗号化の際に用いられたRSA秘密鍵の素数を回復するソフトウェア。セキュリティ研究者のAdrien Guinet氏が公開した。
「Windows XP」「Windows Vista」および32ビット環境の「Windows 7」のほか、「Windows Server 2008」「Windows Server 2003」で動作を確認しており、運良く条件が揃えば復号キーを取得できるとしている。
同ツールの説明によれば、「WannaCrypt」では、メモリを解放する以前に暗号化に用いた素数をメモリ上から削除しないため、メモリ上に素数が残っていれば、同ソフトを用いて取得できるという。
マルウェア作成者のプログラムミスによるバグではなく、暗号化に用いるWindows APIの仕様に起因するもので、「Windows 10」では、メモリ上から削除されていた。
同ツールは、5月の19日に公開されて以降、バージョンアップを重ねており、現地時間5月21日には、最新版となる「同2.0」が登場。自動的に暗号化プロセスのPIDを取得できるようになっている。
(Security NEXT - 2017/05/22 )
ツイート
関連リンク
PR
関連記事
Samsung製スマホなどの既知脆弱性が攻撃の標的に - 米政府が注意喚起
2019年上半期の攻撃、前期の3倍以上に - F-Secureまとめ
2019年2Qのランサム新亜種1.6万件 - 前年同期から倍増
8月半ばからTCP 445番ポート宛てのパケットが増加 - 8割の送信元がWS 2003
重要インフラの3社に1社でランサム被害 - 11%は感染20台以上
不正送金マルウェア「Ursnif」の検出が急増 - コインマイナーは大幅減
「情報セキュリティ白書2018」が発売 - PDF版はアンケート回答で無料
6月のマルウェア検出、3割弱減 - 「MS17-010」悪用が増加
2017年の新種ランサムウェア、前年比62%増 - 「WannaCrypt」検出、日本は2位
2018年1Q、仮想通貨発掘マルウェアが急増 - ランサム攻撃は大幅減