WannaCry ҳужумидан сўнг маълумотларни шифрдан чиқариш воситаси – Wanakiwi!
Шу йилнинг 12 май куни бутун дунё бўйлаб WannaCry номли товламачи-вирус тарқалганидан хабарингиз бор. Ахборот хавфсизлиги соҳаси мутахассислари бу зиёнкор дастур етказган зарарларни бартараф этиш, у блоклаб қўйган компьютерларнинг шифрини ечиш йўлида изланмоқдалар.
Бу борада дастлаб Франциянинг Quarkslab компанияси мутахассиси Адриен Гинье томонидан Windows XP тизимида ишлайдиган WannaKey дастури ишлаб чиқилди.
Куни кеча эса француз мутахассиси Бенжамин Делпи ҳамда эксперт Microsoft Мэтью Сюиш биргаликда шу дастур асосида Wanakiwi номли яна бир жиҳозни ишлаб чиқишди. Оригинал WannaKey’дан фарқли равишда, у нафақат Windows XP, балки 86 разрядли Windows 7, 2003, Vista, Server 2008 ва 2008 R2 каби тизимлар билан ҳам ишлай олади.
Аниқланишича, WannaCry иш фаолияти давомида Windows Crypto API ишга тушади ва иккита калит яратади; улардан бири оммавий бўлиб, файлларни шифрлаш учун ишлатилади. Иккинчиси эса махфий бўлиб, уни тўлов амалга оширилганидан сўнггина ишлатиш ва унинг ёрдамида файлларни шифрдан чиқариш мумкин бўлади. Хакерлик ҳужуми қурбонлари махфийлаштирилган иккинчи калитга ҳам ўзлари етиб бориб, тўлов қилмасдан туриб маълумотларни шифрдан чиқариб олмасликлари учун, WannaCry муаллифлари калитнинг ўзини ҳам шифрлаб қўйишади, уни ҳам фақатгина тўловдан кейин очилади.
Калит шифрланганидан кейин, унинг шифрланмаган биринчи версияси стандарт CryptReleaseContext функцияси ёрдамида ўчириб юборилади. Бу дегани – назарий жиҳатдан у зарарланган компьютер хотирасидан ўчириб юборилиши керак. Аммо амалда бундай бўлмайди, балки калитга йўл кўрсатувчи «маркер»гина ўчириб ташланади.
Лекин, афсуски, худди WannaKey сингари, Wanakiwi ҳам биттагина ҳолатда ишлайди: WannaCry ҳужумидан кейин зарарланган компьютер ўчирилмаган ва қайта ишга туширилмаган бўлса. Шунингдек, компьютер ўчирилмаган тақдирда ҳам, калит бошқа бирор дастур ёки жараён томонидан унинг хотирасидан ўчириб юборилган бўлиши эҳтимоли ҳам бор. Шу боис, маълумотларни Wanakiwi ёрдамида шифрдан чиқариш учун, мутахассисларнинг сўзларига кўра, фойдаланувчиларга «озроқ омад» ҳам керак бўлади.
Wannakiwi дастурини мана бу ҳавола орқали Telegram’дан кўчириб олиш мумкин.
Эслатиб ўтамиз, WannaCry вируси компьютерни блоклаб қўйиб, блокни ечиш учун фойдаланувчидан тўлов талаб қилади. Маълумотларга кўра, жаҳон бўйлаб бир неча ўн минг компьютер зарарланган, улар орасида Ўзбекистон ҳудудидаги қурилмалар ҳам бор. Кейинчалик мазкур вирусдан хакерлар қанча ишлагани маълум бўлди, Microsoft компанияси эса унинг айбдорини ва ҳимояланиш чорасини айтди. «Касперский лабораторияси» бўлса, WannaCry вирусини Шимолий Корея яратган, дея гумон қиляпти.
