WannaCry hujumidan so‘ng ma’lumotlarni shifrdan chiqarish vositasi – Wanakiwi!
Shu yilning 12 may kuni butun dunyo bo‘ylab WannaCry nomli tovlamachi-virus tarqalganidan xabaringiz bor. Axborot xavfsizligi sohasi mutaxassislari bu ziyonkor dastur yetkazgan zararlarni bartaraf etish, u bloklab qo‘ygan kompyuterlarning shifrini yechish yo‘lida izlanmoqdalar.
Bu borada dastlab Fransiyaning Quarkslab kompaniyasi mutaxassisi Adriyen Gine tomonidan Windows XP tizimida ishlaydigan WannaKey dasturi ishlab chiqildi.
Kuni kecha esa fransuz mutaxassisi Benjamin Delpi hamda ekspert Microsoft Metyu Syuish birgalikda shu dastur asosida Wanakiwi nomli yana bir jihozni ishlab chiqishdi. Original WannaKey’dan farqli ravishda, u nafaqat Windows XP, balki 86 razryadli Windows 7, 2003, Vista, Server 2008 va 2008 R2 kabi tizimlar bilan ham ishlay oladi.
Aniqlanishicha, WannaCry ish faoliyati davomida Windows Crypto API ishga tushadi va ikkita kalit yaratadi; ulardan biri ommaviy bo‘lib, fayllarni shifrlash uchun ishlatiladi. Ikkinchisi esa maxfiy bo‘lib, uni to‘lov amalga oshirilganidan so‘nggina ishlatish va uning yordamida fayllarni shifrdan chiqarish mumkin bo‘ladi. Xakerlik hujumi qurbonlari maxfiylashtirilgan ikkinchi kalitga ham o‘zlari yetib borib, to‘lov qilmasdan turib ma’lumotlarni shifrdan chiqarib olmasliklari uchun, WannaCry mualliflari kalitning o‘zini ham shifrlab qo‘yishadi, uni ham faqatgina to‘lovdan keyin ochiladi.
Kalit shifrlanganidan keyin, uning shifrlanmagan birinchi versiyasi standart CryptReleaseContext funksiyasi yordamida o‘chirib yuboriladi. Bu degani – nazariy jihatdan u zararlangan kompyuter xotirasidan o‘chirib yuborilishi kerak. Ammo amalda bunday bo‘lmaydi, balki kalitga yo‘l ko‘rsatuvchi «marker»gina o‘chirib tashlanadi.
Lekin, afsuski, xuddi WannaKey singari, Wanakiwi ham bittagina holatda ishlaydi: WannaCry hujumidan keyin zararlangan kompyuter o‘chirilmagan va qayta ishga tushirilmagan bo‘lsa. Shuningdek, kompyuter o‘chirilmagan taqdirda ham, kalit boshqa biror dastur yoki jarayon tomonidan uning xotirasidan o‘chirib yuborilgan bo‘lishi ehtimoli ham bor. Shu bois, ma’lumotlarni Wanakiwi yordamida shifrdan chiqarish uchun, mutaxassislarning so‘zlariga ko‘ra, foydalanuvchilarga «ozroq omad» ham kerak bo‘ladi.
Wannakiwi dasturini mana bu havola orqali Telegram’dan ko‘chirib olish mumkin.
Eslatib o‘tamiz, WannaCry virusi kompyuterni bloklab qo‘yib, blokni yechish uchun foydalanuvchidan to‘lov talab qiladi. Ma’lumotlarga ko‘ra, jahon bo‘ylab bir necha o‘n ming kompyuter zararlangan, ular orasida O‘zbekiston hududidagi qurilmalar ham bor. Keyinchalik mazkur virusdan xakerlar qancha ishlagani ma’lum bo‘ldi, Microsoft kompaniyasi esa uning aybdorini va himoyalanish chorasini aytdi. «Kasperskiy laboratoriyasi» bo‘lsa, WannaCry virusini Shimoliy Koreya yaratgan, deya gumon qilyapti.
