News

Check Point驗證WannaCry 交付贖金解密過程

  •  
  •  
  •  

若你不小心中了WannaCry,不要以為交贖金可以解決。Check Point威脅情資和惡意軟件研究團隊:長話短說:請勿支付WannaCry勒索軟件要求的贖金!」

原因如下:

截止2017514,與WannaCry勒索軟件有關的 3 個比特幣帳戶已累計收到超過33,000美元。然而,當前卻沒有任何報告案例顯示有人取回檔案。至少可以說,解密流程本身就存有問題。

 

和勒索軟件市場中其他競爭者不同的是,WannaCry似乎沒有辦法將款項與付款人相關聯。大多數勒索軟件(如Cerber)會針對每一位受害者產生唯一的ID和比特幣錢包,所以可以知道解密金鑰的寄送對象。WannaCry卻只要求交付贖金,然後就是… 空等。您可以按下「確認付款」按鈕,但到目前為止,這也只是僅有的結果:

大多數成功的勒索軟件都以自己完善的客戶支援為傲,而且通常也很容易取得聯絡。然WannaCry同樣並非如此。與惡意軟件建立者聯絡的唯一方式,就是透過勒索軟件說明畫面上的「聯絡我們」選項。儘管我們窮盡一切努力,卻尚未收到任何回覆。

 

最後,到現在為止的研究結果,讓我們對WannaCry建立者解密檔案的能力完全存疑。該惡意軟件包含兩個獨立的解密/加密常式 – 一個用於大部份受害者檔案,每個檔案都用唯一的金鑰加密。若要將檔案解密,必須使用建立者本該隨「.dky」檔案提供的私密RSA金鑰。第二個加密/解密常式則用於可解密的10個檔案以作為「免費示範」,意在向受害者保證確實可以將檔案解密,並說服他們支付贖金。這10個特定檔案在加密時隨機選出,每個檔案也都用唯一金鑰加密。不過,這10個檔案的私密RSA金鑰儲存在受害者的本機電腦裡。如下所示:

(a. 主解密函數)

(fig. b. The demo decryption function)

如圖A所示,主解密函數試圖叫出一個預期應包含私密RSA金鑰的「.dky」檔案,並用以解密受害者電腦中的所有檔案。我們可以在圖B中看到類似函數,但其試圖叫出加密程式模組置放的「f.wnry」檔案,其中包含一份示範檔案清單。私密RSA金鑰已硬式編碼入模組中。兩組函數都叫出import_RSA_key模組 (圖 C) – 主解密程式中含有連往「.dky」檔案的路徑 (作為引數),示範解密程式則含有空路徑。

 

(C. 兩個常式的 import_RSA_key 函數)

 

所有這些考量因素 – 無報告顯示有人取回檔案、存有問題的付款和解密系統,以及虛假的解密操作示範檔案,都令我們懷疑WannaCry建立者是否有能力餞行承諾將檔案解密。

 

然而或許我們可以靜觀其變,看看在格林威治標準時間上午 9 點到 11 點這段「上班時間」會有何新發展?

Check Point威脅情資和惡意軟體研究團隊將持續研究WannaCry。Check Point事件回應團隊也在密切監控情勢發展,並可隨時提供協助。


  •  
  •  
  •  

benny

Benny Yeung ~ 企業IT傳媒人,經常四周穿梭科技巨企及論壇,熱愛探討新商機。性格貪玩,但喜歡閱讀沉悶的企業賺蝕數字,最重視辦事效率。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *