Nix88

WanaKiwi, il tool definitivo per decrittare WannaCry?

Un team di ricercatori francesi ha trovato il modo di estrarre le chiavi di decrittazione del ransomware dalla RAM delle macchine infette, ma occorre farlo senza riavviare il sistema o risulta inutile. E intanto si parla di Adylkuzz come erede di WannaCry: sfrutta la vulnerabilità MS17-010, ma per minare criptovalute

Roma - Con un post molto dettagliato sul proprio blog, il ricercatore di sicurezza francese Matt Suiche ha spiegato come tramite il tool Wanakiwi (sviluppato da Benjamin Delpy, lo stesso autore di MimiKatz, sulla base di WannaKey, creato da Adrien Guinet qualche giorno fa), sia possibile per chi ha subito un'infezione di WannaCry, recuperare i propri dati con buona probabilità di successo.

Attenzione però, perché il tool sarebbe in grado di portare a termine il proprio compito solo nel caso in cui la macchina non sia ancora stata riavviata a seguito dell'infezione e l'area di memoria del processo wcry.exe contenente le chiavi di cifratura non sia ancora stata sovrascritta, il che significa dover lanciare WanaKiwi il prima possibile a seguito dell'infezione per poter contare sulle più alte probabilità di successo nel recupero.

Wanakiwi

Il tool sviluppato da Delpy è un'estensione del WannaKey creato da Guinet pochi giorni or sono e il cui obiettivo è espandere il campo di applicazione del decryptor a sistemi operativi diversi da Windows XP.
WanaKiwi non richiederebbe competenze particolari per essere utilizzato, essendo il suo funzionamento completamente automatico, e dai test effettuati è risultato efficace per le versioni x86 di Windows XP, Windows 7 e Windows Server 2003, ma via Twitter Suiche si è detto fiducioso che possa funzionare anche per Windows Server 2008 e Vista.

Sembrerebbe quindi che l'epidemia WannaCry abbia le ore contate, e che gli ultimi numeri rilevati siano destinati a non salire (il wallet BitCoin del ransomware ha raccolto circa 100.000 dollari, come mostrato in questa infografica da Reuters), ma WannaCry non è l'unico malware che fa uso della vulnerabilità MS17-010 per arricchire i propri creatori: da inizio mese infatti, i ricercatori di ProofPoint hanno registrato infezioni da parte di Adylkuzz, anche se l'obiettivo di questo malware non è tanto quello di cifrare i dati presenti sulla macchina quanto di installare il cryptocurrency miner cpuminer con l'obiettivo di impegnare cicli di CPU per minare Monero, una criptovaluta alternativa ai Bitcoin.

Nonostante - a differenza di WannaCry - Adylkuzz non faccia parte di quella categoria di malware in grado di replicarsi e autodiffondersi (worm), per chi ancora non avesse provveduto ad aggiornare i propri sistemi il consiglio è di farlo il prima possibile.

Niccolò Castoldi

fonte immagine
Notizie collegate
  • AttualitàIl dopo WannaCry? Di male in peggioSe il ransomware WannaCry ha fatto piangere, quello che verrà sarà terrore puro: a prometterlo è il gruppo di cracker Shadow Brokers
  • SicurezzaWannaCry, analisi tecnica del ransomwareSono più di 20 le versioni diffuse e svariate le realtà infettate in oltre 100 nazioni. Ecco il flusso di esecuzione di WannaCry, il cryptomalware che sta tenendo sotto scacco gli utenti Windows e i media di tutto il mondo
  • AttualitàWannaCry, ransomware da prima paginaFine settimana di passione sul fronte della sicurezza informatica, con un ransomware piuttosto anonimo impegnato a generare il panico sui PC di tutto il mondo - e soprattutto sui media. Pericolosa la minaccia, scarsi i guadagni
17 Commenti alla Notizia WanaKiwi, il tool definitivo per decrittare WannaCry?
Ordina
  • Nota bene: avete tutti capito perché si riesce a decriptare?
    Parlo per quelli normali, non per i soliti.

    IMHO, il fatto del perchè si riesce a decriptare è ancora più terribile del virus stesso.

    Mi spiego meglio, leggete sotto "la foto":

    https://arstechnica.com/security/2017/05/more-peop.../

    Avete letto cosa fa cilecca di tutto il virus?A bocca aperta
    -----------------------------------------------------------
    Modificato dall' autore il 23 maggio 2017 10.20
    -----------------------------------------------------------
  • - Scritto da: Garson Pollo
    > Nota bene: avete tutti capito perché si riesce a
    > decriptare?
    > Parlo per quelli normali, non per i soliti.
    >
    > IMHO, il fatto del perchè si riesce a decriptare
    > è ancora più terribile del virus
    > stesso.
    >
    > Mi spiego meglio, leggete sotto "la foto":
    >
    > https://arstechnica.com/security/2017/05/more-peop
    >
    > Avete letto cosa fa cilecca di tutto il virus?A bocca aperta

    E noi che credavamo che winsozz fosse un sistema operativo di merda!
    Quanto ci sbagliavamo!

    E' MOLTO MA MOLTO PEGGIO!
  • :|

    Cioè ... spetta .... WannaCry non si implementa un proprio algoritmo di criptazione ma usa l'interfaccia di criptazione standard di Microsoft e già qui ... Sorpresa Perplesso

    Ma poi si scopre che tale interfaccia non è protetta ed è possibile con un processo a livello admin entrare e trovare le chiavi di criptazione ?

    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere

    Ma allora siamo in una botte di ferro, da esperti VB6 ad hacker in un'ora.

    - Scritto da: Garson Pollo
    > Nota bene: avete tutti capito perché si riesce a
    > decriptare?
    > Parlo per quelli normali, non per i soliti.
    >
    > IMHO, il fatto del perchè si riesce a decriptare
    > è ancora più terribile del virus
    > stesso.
    >
    > Mi spiego meglio, leggete sotto "la foto":
    >
    > https://arstechnica.com/security/2017/05/more-peop
    >
    > Avete letto cosa fa cilecca di tutto il virus?A bocca aperta
    > --------------------------------------------------
    > Modificato dall' autore il 23 maggio 2017 10.20
    > --------------------------------------------------
    non+autenticato
  • - Scritto da: Cracker Salato

    PS:
    Comunque a scanso di equivoci, in Linux c'è /dev/kmem che non è molto da meno quando si mettono in piedi i ring, ma trovarseli così serviti su un piatto d'argento è veramente una meraviglia.
    non+autenticato
  • Certamente ma qui siamo a livelli di merda stratificata.
  • - Scritto da: Garson Pollo
    > Certamente ma qui siamo a livelli di merda
    > stratificata.

    Uno strato duro, poi uno molle da usare come collante, poi un altro strato duro, poi uno molle da usare come collante...
  • - Scritto da: Garson Pollo
    > Certamente ma qui siamo a livelli di merda
    > stratificata.

    Si, se poi consideriamo quanto "difficile" sia ottenere i privilegi amministrativi su Windows , penso che siamo proprio a livello cacca profonda.
    non+autenticato
  • - Scritto da: Garson Pollo
    > Certamente ma qui siamo a livelli di merda
    > stratificata.

    E che pretendi? Ti basti vedere i tipacci che difendono tale OS per capire di che pasta possa essere fatto.
    non+autenticato
  • E' sempre stato possibile estrarre la chiave di un criptolocker, il criptolocker gira con l'utente in uso. Pirla.
    non+autenticato
  • Ignorante come la merda:

    1 - hai capito che non usa un proprio sistema di criptazione?
    2 - se non usasse il sistema "dummy" di criptazione di windows lo capisci che COL CAZZO che trovi la chiave in memoria se chi ha scritto il virus sa quello che fa? Secondo te in memoria trovi scritto "CHIAVE = 212121aasdads21323wqdqe..."?

    Prima di parlare stai zitto, prima di scrivere spegni il computer.
  • - Scritto da: Garson Pollo
    > Ignorante come la merda:
    >
    > 1 - hai capito che non usa un proprio sistema di
    > criptazione?
    > 2 - se non usasse il sistema "dummy" di
    > criptazione di windows lo capisci che COL CAZZO
    > che trovi la chiave in memoria se chi ha scritto
    > il virus sa quello che fa? Secondo te in memoria
    > trovi scritto "CHIAVE =
    > 212121aasdads21323wqdqe..."?
    >
    >
    > Prima di parlare stai zitto, prima di scrivere
    > spegni il
    > computer.

    Invece parlo proprio perché so come funziona il criptolocker. Ed é sempre stato possibile estrarre la chiave, che sia il sistema "dummy" o no. L'unico problema é prenderla prima che venga cancellata dal processo.

    Se ce n'é uno che sta dimostrando di parlare a vanvera sei tu.

    Cazzo ogni volta che mettete fuori la testa dalla cantina sparate di quelle minchiate allucinanti. Ficoso
    non+autenticato
  • e' scandaloso come dei perdigiorno con nulla di meglio da fare, vadano a compromettere un business messo in piedi da spregiudicati imprenditori di se stessi, pronti a cogliere le opportunita' che i web mette loro a disposizione. E al posto di rivelare la vulnerabilita' di wannacry ai suoi sviluppatori affnche eliminino la criticita' di funzionamento, che fanno? la spiffrano ai 4 venti e non contenti, realizzano un programma che inabilita wannacry, vantndosene pure! spero la prossima version di wannacry sia moto piu' robusta.
    non+autenticato
  • Eh, si. Il mondo è pieno di gentagliaSorride
    non+autenticato
  • - Scritto da: ...
    > e' scandaloso come dei perdigiorno con nulla di
    > meglio da fare, vadano a compromettere un
    > business messo in piedi da spregiudicati
    > imprenditori di se stessi, pronti a cogliere le
    > opportunita' che i web mette loro a disposizione.
    > E al posto di rivelare la vulnerabilita' di
    > wannacry ai suoi sviluppatori affnche eliminino
    > la criticita' di funzionamento, che fanno? la
    > spiffrano ai 4 venti e non contenti, realizzano
    > un programma che inabilita wannacry, vantndosene
    > pure! spero la prossima version di wannacry sia
    > moto piu'
    > robusta.

    F-A-V-O-L-O-S-O Rotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: ...
    > e' scandaloso come dei perdigiorno con nulla di
    > meglio da fare, vadano a compromettere un
    > business messo in piedi da spregiudicati
    > imprenditori di se stessi, pronti a cogliere le
    > opportunita' che i web mette loro a disposizione.
    senti chi parla.... senza il lavoro rubato a gente seria (i coder di nsa) sti imprenditori avrebbero al max crittografato il proprio di harddiskCon la lingua fuoriSorride
    non+autenticato
  • - Scritto da: ...
    > e' scandaloso come dei perdigiorno con nulla di
    > meglio da fare, vadano a compromettere un
    > business messo in piedi da spregiudicati
    > imprenditori di se stessi, pronti a cogliere le
    > opportunita' che i web mette loro a disposizione.
    > E al posto di rivelare la vulnerabilita' di
    > wannacry ai suoi sviluppatori affnche eliminino
    > la criticita' di funzionamento, che fanno? la
    > spiffrano ai 4 venti e non contenti, realizzano
    > un programma che inabilita wannacry, vantndosene
    > pure! spero la prossima version di wannacry sia
    > moto piu'
    > robusta.

    In effetti...
    Ci hanno insegnato, e tentano di far passare per universale ed eterna, la difesa del cosidetto diritto d'autore sulle opere d'ingegno (ingegno, bah...).
    Per cui se qualcuno si permette di craccare un software per PC, ad esempio WannCry, in maniera da poter essere utilizzato in modo non conforme alle intenzioni degli autori... compie un reato gravissimo, nientemeno che la violazione di uno dei principi cardine che regolano il progresso della moderna società umana. E' così deve essere per i prossimi 70 anni dopo le morte dell'ultimo dei Padri Fondatori dell'opera d'ingegno in questione; almeno questo ci hanno insegnato.
    E che cribbio! Nessuno deve mettere i bastoni tra le ruote allo sfruttamento commerciale dell'opera d'ingegno, sia ben chiaro. Non penserete mica che il duro lavoro degli autori non debba essere retribuito?