Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「WannaCrypt」の復号キーをメモリから取得する「WannaKey」

ランサムウェア「WannaCrypt」の復号キーを取得するツール「WannaKey」が公開されている。運良く条件が揃えば復号が可能だという。

同ツールは、「WannaCrypt」のプロセスが動作するメモリ上から、暗号化の際に用いられたRSA秘密鍵の素数を回復するソフトウェア。セキュリティ研究者のAdrien Guinet氏が公開した。

「Windows XP」「Windows Vista」および32ビット環境の「Windows 7」のほか、「Windows Server 2008」「Windows Server 2003」で動作を確認しており、運良く条件が揃えば復号キーを取得できるとしている。

同ツールの説明によれば、「WannaCrypt」では、メモリを解放する以前に暗号化に用いた素数をメモリ上から削除しないため、メモリ上に素数が残っていれば、同ソフトを用いて取得できるという。

マルウェア作成者のプログラムミスによるバグではなく、暗号化に用いるWindows APIの仕様に起因するもので、「Windows 10」では、メモリ上から削除されていた。

同ツールは、5月の19日に公開されて以降、バージョンアップを重ねており、現地時間5月21日には、最新版となる「同2.0」が登場。自動的に暗号化プロセスのPIDを取得できるようになっている。

(Security NEXT - 2017/05/22 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「WannaCrypt」騒ぎから1年経過するも国内端末の1割に感染リスク
2018年1Qはコインマイナーが2.2倍、ランサムは315分の1に
「WannaCrypt」騒ぎから約1年、GWに向けてセキュリティ対策の確認を
データ漏洩7割がクラウド設定ミスに起因、ランサム被害は80億ドル超 - IBM調査
2017年の国内検出ランサムウェア、6割が「WannaCrypt」 - 多様化の進むランサム攻撃
「WannaCry」ではない「Eternalblue」「Doublepulsar」攻撃が増加 - 「MS17-010」適用の再確認を
2017年4Qの不正プログラム検出数は82万件 - 「CoinMiner」の報告も
なくならない「WannaCrypt」の検出 - 国内で少なくとも1900台が脆弱性を放置か
米政府、「WannaCrypt」の攻撃者を北朝鮮と断定 - 日本も同調
インシデントでCISOをクビにすることは悪手 - イスラエル国家サイバー局ディレクター