Wannakey et Wanakiwi pour Wana Decyptor (XP,Win7, Vista ... seulement)

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Parisien_entraide
Messages : 10842
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Wannakey et Wanakiwi pour Wana Decyptor (XP,Win7, Vista ... seulement)

par Parisien_entraide »

Un Français, Adrien GUINET (expert en sécurité informatique pour la société QuarksLab), a trouvé une solution pour remettre d'aplomb une machine infectée par Wana Decryptor (aka WannaCry).

Le gros soucis pour que l'opération se réalise, c'est qu'il est impératif que la machine n’ait pas été redémarrée une seule fois depuis son infection


Pour Windows XP


Le lien pour récupérer le programme :

https://github.com/aguinet/wannakey


L'opération se fait en ligne de commande via cmd.exe


La procédure est expliquée ici :

https://github.com/aguinet/wannakey


Cela permet de générer une clé, et ensuite, car le programme ne déchiffre pas les données, il faut aller sur :

https://github.com/odzhan/wanafork/
ou
https://github.com/gentilkiwi/wanadecrypt

Conscient que l'outil n'est pas très facile d'accès, le chercheur a fait savoir sur Twitter qu’il travaille à la mise au point d’un programme permettant d’utiliser Wannakey plus facilement pour le grand public.
Wanakey.png
Pourquoi cela ne fonctionne t- il que sous Windows XP ? (extrait de https://www.nextinpact.com/news/104328- ... acrypt.htm )

_________________________
"Le fonctionnement – partiel – de Wannakey s’appuie en fait sur une différence de fonctionnement de l’API Cyptographic de Windows. Le malware s’en sert en effet pour l’ensemble des opérations de chiffrement, sans chercher à réinventer la roue donc.

Ce qui a rendu WannaCrypt difficile à combattre jusqu’ici, c’est qu’il jette littéralement la clé RSA de chiffrement après utilisation. L’API de Windows ne garde par ailleurs aucune information en mémoire, pour des questions de sécurité. Sous Windows XP par contre, l’ancienne version de l’interface y laisse des traces, particulièrement les nombres premiers générés pour construire la clé. Wannakey est capable de récupérer ces informations.

Ces traces expliquent également pourquoi le programme ne fonctionnera pas à chaque fois. Non seulement la machine ne doit pas avoir été arrêtée ou redémarrée (vidage mémoire), mais il ne faut pas non plus que les données aient été remplacées par d’autres."
___________________________


Pour windows 7 il faut aller faire un tour ici : (fonctionne aussi avec Windows 2003 - x86 confirmed - , Vista, 2008 et 2008 R2)

https://github.com/gentilkiwi/wanakiwi
https://github.com/gentilkiwi/wanakiwi/releases

A lire :

https://blog.comae.io/wannacry-decrypti ... afb81112d
Benjamin Delpy, qui est directeur des projets de sécurité à la Banque de France, travaille sur WanaKiwi, qui semble donner des résultats prometteurs avec Windows 7 (si on ne reboot pas).
WanaKiwi.png

Pour Windows 10 pour l'instant les nouvelles ne sont pas bonnes
(en suivant la même démarche)

"La fonction CryptReleaseContext efface la mémoire sous Windows 10 » note Adrien Guinet. « Ce n’est pas vraiment une erreur des auteurs du ransomware, car ils utilisent correctement l’API Windows Crypto.
En effet, pour ce que j’ai testé, sous Windows 10, CryptReleaseContext nettoie la mémoire (et donc cette technique de récupération ne fonctionnera pas)"

_____________________________

Comptes twitter à suivre :

https://twitter.com/msuiche (Matthieu Suiche le cofondateur de la start-up CloudVolumes)

https://twitter.com/adriengnt
(Adrien Guinet)

https://twitter.com/gentilkiwi (Benjamin Delpy)
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Malekal_morte
Messages : 111004
Inscription : 10 sept. 2005 13:57

Re: Wannakey et Wanakiwi pour Wana Decyptor (XP,Win7, Vista ... seulement)

par Malekal_morte »

=)
Merci pour le post.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 111004
Inscription : 10 sept. 2005 13:57

Re: Wannakey et Wanakiwi pour Wana Decyptor (XP,Win7, Vista ... seulement)

par Malekal_morte »

J'ajoute que j'avais pas fait de news car les conditions pour récupérer les fichiers sont vraiment trop complexe...
Ne pas avoir redémarrer c'est peu probable que l'utilisateur ne l'ait pas fait.

De plus Windows XP n'a été probablement que très très peu touché, l'outil utilisé pour infecter les machines ne fonctionnent que sur Windows 7 64 bits.
Sur les autres versions de Windows, ça merde pas mal.

Je ferai une vidéo là dessus.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Parisien_entraide
Messages : 10842
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Wannakey et Wanakiwi pour Wana Decyptor (XP,Win7, Vista ... seulement)

par Parisien_entraide »

Malekal_morte a écrit : 20 mai 2017 13:26 J'ajoute que j'avais pas fait de news car les conditions pour récupérer les fichiers sont vraiment trop complexe...
Ne pas avoir redémarrer c'est peu probable que l'utilisateur ne l'ait pas fait.

De plus Windows XP n'a été probablement que très très peu touché, l'outil utilisé pour infecter les machines ne fonctionnent que sur Windows 7 64 bits.
Sur les autres versions de Windows, ça merde pas mal.
Tu as tout a fait raison, j'ai juste mis l'info pour le fait qu'il y avait une solution, tout en mettant en avant (en rouge) que la condition demandée était primordiale, mais évidemment dans les faits, tout le monde relance le PC
La solution reste donc anecdotique et accessoire (vu en plus le peu de XP touché) mais elle a le mérite d'exister (mais ca ne peut pas faire "une news")

Les chiffres de Kaspersky :

Windows 7 64 bits a été la plus touchée avec 60,35 % de toutes les infections
Windows 7 32 Bits classique et home (31,72 %)
Windows 2008 R2 Serveur a également été affecté et représente un peu plus de 1 % des attaques.

Windows XP de son côté est responsable d’à peine 0.03 % des infections
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Malekal_morte
Messages : 111004
Inscription : 10 sept. 2005 13:57

Re: Wannakey et Wanakiwi pour Wana Decyptor (XP,Win7, Vista ... seulement)

par Malekal_morte »

oui, voir explications : viewtopic.php?f=11&t=57653#p436011
mais il y a une version qui vise Windows 8.1 qui est arrivée.
A voir s'il va y avoir de nouvelles campagnes, mais bon, Windows 8.1 n'est pas super répandu.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Actualité & News Informatique »