https://github.com/aguinet/wannakey
這是法國人adrien guinet公開的 WannaCry 貨真價實"提取密鑰質數"程式
先來理解WannaCry 是用2048 bit RSA key
RSA key基本原理是 以二個超大質數 相乘
此質數一但破取得 RSA密鑰 就可解密檔案
這程式原理
是利用 wcry.exe進程 。Windows API CryptDestroyKey和CryptReleaseContext在釋放之前不會從記憶體中刪除質數。
就可取得RSA密鑰.
這不是勒索病毒作者的錯誤,他們呼叫Windows Crypto API沒問題。
這是因為在Windows XP ,7 ,2003 ,Vista CryptReleaseContext不清理RSA 質數。
而在Windows 10下,CryptReleaseContext會清理記憶體(因此無法用這種方法取得RSA密鑰質數)。
另外使用此程式 OS當然不要關機.. wcry.exe進程不可關閉.
此程式取得出得質數後 ,還需要Windows Crypto API.來合成 解密用的RSA private key
#OSSLab
#滿天假技術
#滿地假專家
#WannaCry
