檔案被鎖想哭?如果夠幸運,WinXP用戶或可解鎖

Photo Credit: Joe Cavaretta / AP Photo / 達志影像
你為什麼需要這則新聞

如果你的電腦感染了WannaCry,同時使用Windows XP的話,現在有方法或可幫你解鎖檔案,但不保證成功。

WannaCry勒索病毒令不少使用舊款作業系統的電腦中招,即使微軟早於2014年4月已經停止繼續支援,仍然有大約5%用戶的電腦使用快將16歲的Windows XP——WannaCry的災情更嚴重得微軟要推出緊急安全更新,以免更多Windows XP的用家感染病毒。

今次WannaCry散播,凸顯出繼續使用舊作業系統的安全問題。不過Windows XP上的一個漏洞,反而可能讓電腦被WannaCry綁架的受害者能夠取回密鑰解鎖檔案。

法國資訊安全研究員Adrien Guinet日前在開源程式碼庫GitHub發放了「WannaKey」,聲稱可以為部份Windows XP的受害者復原檔案——但不適用於其他版本的Windows,而且不保證成功。

Guinet指他數次在安裝了Windows XP、感染WannaCry的電腦上測試,均成功以WannaKey取出加密檔案用的密鑰,從而解鎖檔案。

根據描述,WannaKey利用微軟加密程式的一個漏洞來取會密鑰。WannaCry加密時會先產生一對密鑰,「公鑰」用作加密檔案、「私鑰」則用來解密——假如受害者付贖金(但黑客也不一定會交密鑰給你)。為阻止受害者取得私鑰來解密檔案,WannaCry會把的鑰加密,僅讓其操控者取得。

然而Guinet發現,當WannaCry加密了私鑰後,一個由微軟設計的刪除功能「CryptReleaseContext」會清除記憶體中未加密的私鑰。問題是在Windows XP中,這個功能不會真正在記憶體中刪除私鑰數據,讓他有機會「搶救」私鑰(其他版本的Windows已不會有這個問題)。

假如你是WannaCry受害者同時電腦使用Windows XP,也先別高興得太早,因為WannaKey是從記憶體中尋找資料,如果感染病毒後你曾經關機——關機後記憶體的數據會消失——WannaKey就愛莫能助。即使你沒有關機,記憶體中記錄密鑰的位置仍有可能被其他程式覆寫,所以WannaKey無法保證一定成功。

現時尚未能確認WannaKey是否有效,在GitHub上暫時只有一名用戶留言,表示使用WannaKey第一版成功,第二版則不;另一資訊安全研究員Matt Suiche則表示他在初步測試中無法解密檔案。研究資訊加密的學者Matthew Green則認為,WannaKey看起來有效,同時提醒受害者WannaKey能否成功有部份取決於機率,就像幸運抽獎一樣。

無論如何,Windows XP的用戶都應該盡快更新其作業系統——今次的「解決方法」也是解基於另一漏洞。至於使用其他Windows版本的受害者,雖然可以繼續等下去(如果受感染後不曾關機),但一般而言取回密鑰解鎖檔案的機會不大。

相關文章︰

資料來源︰

或許你會想看
更多『新聞』文章 更多『科技』文章 更多『Kayue』文章
Loader