ZKIZ Archives


勒索病毒阻擊戰新突破 騰訊實驗室解密被鎖XP系統

5月19日,WannaCry勒索病毒阻擊戰取得新突破,被鎖用戶有望實現解密。騰訊安全反毒實驗室通過官方微博發布,在此前公開解密線索基礎上,騰訊安全反病毒實驗室做了進一步研究並發布XP解密工具,Windows XP 系統用戶遭到“想哭”勒索病毒感染後,在沒有重啟電腦的前提下,通過該工具可以大概率成功解密,解密恢複成功率是其他文件恢複工具的幾倍。同時,騰訊安全反病毒實驗室表示正在對影響更大的WIN7系統解密進行研究。

騰訊安全反病毒實驗室負責人馬勁松表示,關於Windows XP 系統解鎖的研究,此前已有安全同行發表了進展,Adrien Guinet首先發現了在XP環境某些條件下,使用CryptDestroyKey和CryptReleaseContext時不會將生成的RSA密鑰從內存中銷毀,通過搜索目標進程內存的方式,可以搜索到RSA密鑰的某些痕跡,但其沒有對解密結果進行廣泛驗證。

在Adrien Guinet提供的代碼的基礎上,騰訊反病毒實驗室根據這幾天對樣本的分析結果以及以前的技術積累,修改了其中一些關鍵的問題,使得從搜索到的結果可以提取到文件解密所需的RSA私鑰,進而解密XP系統下的受害文件。這一研究成功的公布,或將給行業抗擊勒索病毒、以及下一波攻擊帶來啟示。

PermaLink: https://articles.zkiz.com/?id=249793

Next Page

ZKIZ Archives @ 2019