如果发现自己中勒索了,休眠可以成为一种自救手段么?

2017-05-20 14:24:54 +08:00
 acess
当然,最好还是做好预防,多备份。
不过,看到最近有人提供了 WanaCry 解锁工具,感觉想方设法 dump 出内存还是有可能提高获救概率的(当然,如果倒霉“睡死”了就彻底 GG 了):
https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d
如果 LZ 没理解错,这个解锁工具的原理是:在病毒进程的内存中搜索当初生成本机 RSA 密钥对的质数,然后重建出私钥。本来这个私钥是被勒索蠕虫用硬编码的 RSA 公钥加密了的,必须找病毒作者才可能给解密出来,现在 RP 够好就可以重建出来,然后就可以用它解密每一个被加密文件了(先用 RSA 私钥解密每个文件的 AES 密钥,再用 AES 密钥解密文件数据)。
这个方法利用条件很苛刻,必须让病毒进程稳稳地运行到现在才行,然而杀毒 /重启 /关机都会把病毒进程干掉……

PS:LZ 用 Win7x64 虚拟机试过这个工具,手动指定了 tasksche.exe 的 PID,然而并没有成功搜到私钥……
7465 次点击
所在节点    信息安全
55 条回复
ylsc633
2017-05-20 14:26:10 +08:00
电脑配置太差.... 当这个病毒出现了....

然后电脑显示 未响应....

我给关了.......
acess
2017-05-20 14:27:08 +08:00
@ylsc633 别开玩笑……等病毒窗口出来,文件已经都成为绑票了。
acess
2017-05-20 14:30:03 +08:00
老实说这个思路不是我想出来的,来自于:
https://www.zhihu.com/question/46715248/answer/112125941
acess
2017-05-20 14:44:52 +08:00
另外…… dump 内存这个思路,LZ 一个外行都能想到,那世界各大安全厂商的专家肯定早就考虑过这个吧。
那么,他们可能是出于什么考虑才没推广这种方法?
ctsed
2017-05-20 14:50:17 +08:00
@acess 方案实施条件太苛刻了
zwl2012
2017-05-20 14:52:13 +08:00
@acess RAS 算法不是非对称加密算法,公钥加密,私匙才能解密吗。如果是对称加密算法,直接逆向工程病毒文件的加密密钥生成算法不就解决了。何必那么折腾
acess
2017-05-20 14:52:55 +08:00
@ctsed 事后诸葛地考虑一下,那些用着 32 位 XP 或 Win7 的中毒者如果及时 dump 了内存,现在解密工具出来了,他们就有更大的概率能找到私钥、解密文件了。
acess
2017-05-20 14:55:24 +08:00
@zwl2012 RSA 是非对称加密没错,病毒作者也及时调用了微软的 CryptReleaseContext API 来清除本机的私钥。但他没想到微软的这个 API 不靠谱,实际上有概率没清除掉生成 RSA 密钥对的质数。(这是 LZ 看完那篇博客的理解)
acess
2017-05-20 14:59:56 +08:00
@zwl2012 而且即使逆向了病毒也有很大概率没 X 用,只要病毒生成密钥时没犯低级错误,就不可能直接破解密钥。
zwl2012
2017-05-20 15:03:45 +08:00
@acess 我对公钥的理解是其只负责加密,故 dump 内存得到公钥对解密文件没有任何作用。
acess
2017-05-20 15:06:37 +08:00
@zwl2012 是的,dump 内存本应当没有作用,但病毒本地生成了 RSA 密钥对,而且微软的 CryptoAPI 有概率没把生成 RSA 密钥对的质数从内存中清除掉,所以才有现在的解锁工具 wanakiwi。
acess
2017-05-20 15:07:11 +08:00
继续事后诸葛亮:
WanaCrypt 并没有重启的行为,休眠也同样可以阻止病毒继续运行传播,操作也相对简单,LZ 不知道为啥没看到安全厂商推荐大家休眠。
按理说专家集体犯错的可能性应该接近 0,那应该是出于某种考虑才没这么做。
JJaicmkmy
2017-05-20 15:32:03 +08:00
看了 Austin Evans 的视频,貌似是先加密文件,再把未加密的版本删掉。所以病毒启动后立刻断电拔硬盘应该还有救。
acess
2017-05-20 15:34:16 +08:00
@JJaicmkmy 这个早就确证了……应该有不少人手动验证过。360 不就出了恢复工具。
acess
2017-05-20 15:34:41 +08:00
@JJaicmkmy 但是断电是救不回已经加密的文件的。
GNiux
2017-05-20 15:46:09 +08:00
LZ 说的是不是就是人家这思路: http://bobao.360.cn/learning/detail/3874.html
gamexg
2017-05-20 15:47:30 +08:00
@JJaicmkmy #13
@acess #15

病毒删除未加密的文件前写 0 了吗?如果没写 0,那么可以尝收缩删除文件来找到未加密的文件。
acess
2017-05-20 15:57:16 +08:00
@gamexg 就是有文件没被写 0 才有可能恢复啊。有一部分的确是被写 0 了,没救了。
acess
2017-05-20 15:57:30 +08:00
@gamexg 不过这个误删恢复的思路和本贴无关
acess
2017-05-20 16:17:58 +08:00
@GNiux 我说的不是这个思路。实际上,运行 360 的恢复工具 2.0 会直接干掉病毒的 tasksche.exe,然后 LZ 主帖说的工具 wanawiki 应该就不能工作了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/362636

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX