WannaCryptIMG

 今月の初旬から猛威を振るっているランサムウェア「WannaCry」ですが、今回フランスのセキュリティ企業によって、WindowsXPのみではありますが、解除するキーが発見されました。


hakker


 今回、この暗号化を解除するキーを発見したのはフランスのセキュリティ企業であるQuarkslab社で、WannaCryを実行させてみることによって、今回解除するキーが見つかったそうです。
 「WannaCry」を実行させると、ファイルの暗号化を行なわれますが、その際にプログラムの仕様(正確にいえばWindowsのアプリケーションを動かすプログラムの一部の仕様)により、ランサムウェアのプログラムの終了時にメモリ上に暗号化させる「鍵」のキーが残っていたそうです。それにより今回の復号化に成功したそうです。
Hackimg2

 ただし、今回のツールの絶対条件はこのプログラムの終了時にメモリ上に暗号化させる「鍵」のキーが残っているのが前提であり、WindowsXP以外のOSの場合はプログラムの終了時にメモリーを解放させるため使用できません。
 
 今回のこのツールに関しては、GitHubで、「Wannakey」という名前で公開しています。
GitHub   aguinet/wannakey: Wannacry in-memory key recovery for WinXP

https://github.com/aguinet/wannakey

 現在のところ「WannaCry」に関しては、WindowsXP以外の復号化ツールは出来ておりません。「WannaCry」の動作を止める手として、動作コードに含まれる「登録されていないドメイン名」が存在しておりこのドメイン名を実際登録させると、「WannaCry」の動作が停止するそうです。angou

 いずれにせよ、感染させないようにするのが一番ですが、もし感染したら他のパソコンへの被害を防ぐために、まずはネットワークからはずしてドメインの登録をするか、OSの再インストールをするのが一番の手かもしれません。絶対に身代金は払わないようにしてください。