Decrypting WannaCry Infected files with Wanakiwi

Ransomware WannaCry menjadi heboh di seluruh dunia karena malware tersebut telah menyerang kurang lebih 150 negara. Sasaran penyerangannya Rumah sakit, kantor pemerintahan dan banyak industri lainnya. Sekitar 170an tipe file yang dapat dienkripsi dan harus bayar $300 – $ 120 melalui BitCoin.

Beberapa hari kemudian, security researcher Adrien Guinet dari perusahan high-end Cybersecurity Quarkslab yang berbasis di Perancis mengatakan bahwa ada kerentanan di Windows file encryption subsystem, pada saat melakukan penghapusan private key yang digunakan enkripsi dari memori yang tidak benar. Sehingga dapat berupaya mengubah kerentanan tersebut menjadi sebuah tools yang mampu menarik Private key kemudian mengubahnya menjadi format yang sesuai.  Researcher tersebut menulis tools WannaKey untuk mendekripsi file infected namun harus recovery file secepat mungkin sebelum komputer direboot dan proses WannaCry tidak tertimpa oleh proses lain. Memindai memori proses WannaCry untuk memulihkan bilangan prima(Prime Number) yang tidak dibersihkan selama CryptReleaseContext(). Sayangnya tools tersebut hanya berjalan di Windows Xp. https://github.com/aguinet/wannakey

Penjelasan tentang apa itu CryptReleaseContext “The CryptReleaseContext function releases the handle of a cryptographic service provider (CSP) and a key container. At each call to this function, the reference count on the CSP is reduced by one. When the reference count reaches zero, the context is fully released and it can no longer be used by any function in the application.
An application calls this function after finishing the use of the CSP. After this function is called, the released CSP handle is no longer valid. This function does not destroy key containers or key pairs.” https://msdn.microsoft.com/en-us/library/windows/desktop/aa380268(v=vs.85).aspx

WannaKey tidak berhasil dekrip infected file di Windows 7 kemudian security researcher Benjamin Delpy dan Matt Suiche melanjutkan metode dekripsi Adrien dengan WanaKiwi. PID (Id Proses) adalah parameter opsional. Secara default, wanakiwi secara otomatis mencari proses wnry.exe atau wcry.exe sehingga parameter PID ini tidak diperlukan. Namun dalam kasus, proses utama memiliki nama yang berbeda parameter ini dapat digunakan sebagai parameter input. https://github.com/gentilkiwi/wanakiwi

Berikut ini video yang saya buat ketika berhasil dekrip infected file di Windows 7 dengan Wannakiwi
http://www.youtube.com/watch?v=N1j5i-kpOe4

Advertisements
This entry was posted in SECURITY. Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s