Fransız bir güvenlik araştırmacısı, bugün öğlen saatlerinde WannaCry tarafından şifrelenen Windows XP makinalar için bir çözüm olabileceğini açıkladı. Fransa’daki Quarklab çalışan Adrien Guinet, virüs bulaşmış bir XP bilgisayarını geri yüklemek için gereken gizli şifre çözme anahtarını bulan bir yazılımı herkese açık ve ücretsiz olarak yayınladı. Ancak yazılım henüz çok sayıda XP bilgisayarları üzerinde test edilmedi ve işe yarasa bile sınırlamaları olduğu raporlanıyor.
I got to finish the full decryption process, but I confirm that, in this case, the private key can recovered on an XP system #wannacry!! pic.twitter.com/QiB3Q1NYpS
— Adrien Guinet (@adriengnt) May 18, 2017
Hatırlanacağı üzere, adını geçen hafta duymaya başladığımız WannaCry virüsü, bulaştığı bilgisayarların içindeki dosyaları kilitliyor ve açmak için 300-600 $ düzeyinde bir fidye talep ediyor [1].
“WannaKey” [2] dediği uygulamasının açıklamasında (readme belgesinde) Guinet : “Bu yazılım yalnızca Windows XP’de test edildi ve işe yaradığı tespit edildi. Virüs bulaşmış bilgisayarınızı, yeniden başlattıktan sonra kullanabilirsiniz. Ancak bu yazılım bazı durumlarda işe yaramayabiliyor” diyor.
Çünkü WannaCry, dosyaları şifrelemek ve şifrelerini çözmek için anahtar üretmek de dahil olmak üzere birçok işlevi, Windows’un içerdiği “Microsoft Şifreleme Uygulama Programı Arayüzü” üzerinden yapıyor. Çoğu Windows versiyonunda bu arayüz, anahtarı oluşturup güvence altına aldıktan siliyor.
Bunun bir istisnası, XP’de daha önce gözden kaçan bir sınırlama –ki silme işleminin oluşmasını önleyebiliyor–. Sonuç olarak, bir WannaCry gizli anahtarı oluşturmak için kullanılan asal sayılar, bilgisayar kapatılana kadar bilgisayar belleğinde bozulmadan kalabilir. Wannakey’in, virüslü XP makinesinin belleğini başarıyla taramayı başardığı ve gizli anahtarın dayandığı p ve q değişkenlerini çıkardığı belirtiliyor.
Guinet bu nedenle “Eğer şanslı iseniz, bu asal sayılar hâlâ hafızada olabilir” diyor.
Ancak Guinet’in yönteminin diğer versiyonlar için çalışıp, çalışmadığı bilinmiyor. Yine de bu sürecin başka ortak akıl ürünü çözümler yaratabileceği umuluyor.
Arap Emirliklerinde yaşayan bir güvenlik araçtırmacısı Matthieu Suiche ve Banque de France’da çalışan Benjamin Delpy’nin aynı konuda çalıştığı ve Guinet ile ilişkili oldukları kaydediliyor. Suiche, blogunda kendi geliştirdiği teknik detayları içeren bir yazı yayınladı [3]. Orijinal konseptin yaratıcısı Guinet tarafından yaptırılan Wannakey adlı bir araca bağlantı kuruyor.
Suiche “Bu mükemmel çözüm değil. Ancak, bu, yedekleme yapmamış ve virüs bulaşmış bilgisayarlardaki dosyaları kurtarmaya yardımcı olabilecek tek uygulanabilir çözüm” dedi. Virüs bulaştıktan sonra PClerinin fişini çeken ya da çözmek için bir takım işlemler yapmış olanlar için kurtuluş yok ama diğer PC’leri kurtarmak için bir ümit var.
[1] Hafta Sonu Yaşanan Siber Saldırı Neydi? Ne Oldu?
[3] WannaCry — Decrypting files with WanaKiwi + Demos




Kaynak : 