web-dev-qa-db-ja.com

WannaCryptの身代金を支払った後に誰かがファイルを正常に復号化しましたか?

WannaCryptは、確かに世界中で聞いたショットです。

身代金として2万ドル以上を支払ったとのニュース記事を見ました。これはクレブスからのものです: グローバル「ワナ」ランサムウェアのアウトブレイクでこれまでに$ 26,000の加害者が獲得しました

しかし、私の質問は次のとおりです。誰かが支払い後にファイルを正常に復号化しましたか?

15
SDsolar

はい一部は身代金を支払った後にファイルを復号化したようです。

身代金を支払った200人以上の#WannaCry被害者の一部がファイルを取り戻したことを確認しました。それでも、お勧めできません。

(2017年5月15日、F-SecureのCRO、Mikko Hypponenによってツイート)

しかし、支払い後に解読される保証は絶対になく、特に自動化されたプロセスではないが、人間のオペレーターとの対話が必要なため、可能性はかなり低いようです。セキュリティ研究者は強く 身代金の支払いをお勧めしません

17
Arminius

正直なところ、身代金の支払いは典型的な囚人のジレンマです。誰もファイルを復号化しない場合(一部の企業はセキュリティ評価と権限を持つ情報共有ポリシーを持っています)、ランサムウェアの攻撃者の評判を破壊し、将来の「見通し」を破壊します。ただし、ランサムウェアの攻撃者が失敗する可能性があります。

問題は暗号化キーにあります。身代金の利益を最大化するには、すべてのPCで新しい暗号鍵を生成します。ただし、悪意のあるC&C(コマンドアンドコントロール)サーバーへの移行時に暗号キーが失われるリスクもあります。

したがって、事前に生成された暗号鍵を使用すると、復号化が保証されますが、支払いを行う人が多くのPCで復号化鍵を「再利用」する可能性があることも意味します。

(更新):@Josefによって提案されているように、攻撃者は非対称キーを使用して、アドホックの一意のキーを暗号化する可能性があります。つまりランサムウェアのコードは、公開鍵を使用してアドホック暗号鍵を暗号化します。つまり、マルウェアはこの第1レベルの暗号化データをC&Cサーバーに送信する必要があります。しかし、このメカニズムには1つの問題点があります。C&CのIPを当局がブロックすると、シンジケートの「販売実績」(皮肉)が「傷つき」ます。

2
mootmoot

はい、身代金を支払った後に復号化キーを受け取った被害者がいます。ただし、感染の規模とランサムウェアのコーディング方法により、犯罪者は復号化リクエストを受け入れることができない可能性があります。

ロンドンのセキュリティ会社ハッカーハウスの研究者であるマシュー・ヒッキー氏は、これらのわずかな利益の一部は、基本的な身代金機能をほとんど果たさないWannaCryから生じている可能性があると述べています。週末、ヒッキーはWannaCryのコードを掘り下げました。マルウェアは、特定の被害者が要求された$ 300ビットコインの身代金を彼らに一意のビットコインアドレスを割り当てて支払ったことを自動的に確認しないことに気付きました。代わりに、4つのハードコードされたビットコインアドレスのうちの1つのみを提供します。つまり、入金には、復号化プロセスの自動化に役立つ可能性のある識別情報がありません。その代わりに、犯罪者自身は、身代金が到来したときに復号化するコンピューターを特定する必要がありました数十万の感染したデバイスが与えられた場合、容認できない取り決め。 「これは、実際にはもう一方の端での手動プロセスであり、誰かがキーを確認して送信する必要があります」とHickeyは言います。

Hickeyは、セットアップによって、犯罪者が支払いの後でもコンピューターの復号化に失敗することを避けられないことを警告しています。彼は、12時間以上前に支払い、まだ復号化キーを受け取っていない1人の被害者をすでに監視していると言います。 「彼らはこの規模の発生に実際に対処する準備ができていません」とHickeyは言います。

ここにソース 。私の鉱山を強調します。)

感染したマシンがWindows XPを実行している場合は、無料でファイルを回復できる場合があります。 RAMから復号化キーを取得する方法があります なので、感染後にマシンの電源をオフにしていなければ、身代金を支払うことなくデータを取り戻すことができる可能性があります。
編集:朗報です この方法は、XP to 7 のすべてのWindowsバージョンでも機能します)。

2
dr_

復号化が成功したかどうかは不明であり、身代金の支払いが感染したPCにリンクされる方法も不明です。しかし、支払われた身代金の数を見てください:約269の既知のケース(ビットコインウォレットのトラフウォッチング;参照 https://Twitter.com/actual_ransom )は、既知の感染(220.000)に対するものです。

0
user689443