5月19日,WannaCry勒索病毒阻击战取得新突破,被锁用户有望实现解密。腾讯安全反毒实验室通过官方微博发布,在此前公开解密线索基础上,反病毒实验室做了进一步研究并发布XP解密工具,Windows XP 系统用户遭到“想哭”勒索病毒感染后,在没有重启电脑的前提下,通过该工具可以大概率成功解密,解密恢复成功率是其他文件恢复工具的几倍。同时,正在对影响更大的WIN7系统解密进行研究。
马劲松表示,关于Windows XP 系统解锁的研究,此前已有安全同行发表了进展,Adrien Guinet首先发现了在XP环境某些条件下,使用CryptDestroyKey和CryptReleaseContext时不会将生成的RSA密钥从内存中销毁,通过搜索目标进程内存的方式,可以搜索到RSA密钥的某些痕迹,但其没有对解密结果进行广泛验证。
在Adrien Guinet提供的代码的基础上,反病毒实验室根据这几天对样本的分析结果以及以前的技术积累,修改了其中一些关键的问题,使得从搜索到的结果可以提取到文件解密所需的RSA私钥,进而解密XP系统下的受害文件。这一研究成功的公布,或将给行业抗击勒索病毒、以及下一波攻击带来启示。
本文转自d1net(转载)
