ここから本文です

ランサムウェアWannaCryの暗号化を解除する「Wannakey」がGitHubに公開

Impress Watch 5/19(金) 11:42配信

 世界中で猛威を振るっているランサムウェア「WannaCry」。現在でも被害は拡大している模様だが、GitHubにWannaCryによって暗号化されてしまったデータを復号するソフトウェア「Wannakey」が公開されている。

【この記事に関する別の画像を見る】

 Wannakeyはフランス在中のセキュリティ研究者を名乗るAdrien Guinet氏が製作したもので、無償で入手可能。ただし、現状公開されているWannakeyの動作条件はかなり限定されており、まずOSはWindows XPでなければならない。それに加え、感染後にPCを再起動していないか、関連したメモリ領域の再配置および消去が行なわれていない必要がある。これらは大前提で、同氏はこの条件が整っていたとしても、必ず成功するとは限らないとしている。

 Wannakeyは、WannaCryのプロセスを検査し、そのRSA秘密鍵を暴いて暗号化を解除するとのことだが、これはwcry.exeが関連したメモリ領域を解放する前に、Windows APIのCryptDestroyKeyとCryptReleaseContextがRSA秘密鍵の素数を消去しないことによって可能になっているという。

 これはWannaCry製作者のミスというわけではなく、Windows 10ではCryptReleaseContextが消去を行なっているのに対し、XPではそれが行なわれてないということからバージョンの問題らしく、これによってメモリ領域に残されたRSA秘密鍵の素数を入手できているようだ。ただし、前述のとおり関連したメモリ領域が上書きなどされていない必要がある。

 Wannakey利用方法はGitHub上のWannakeyのページで確認できる。

PC Watch,中村 真司

最終更新:5/19(金) 11:42

Impress Watch