최근 SMB의 취약점을 타고 들어온 워너크라이의 복호화툴이 추가적으로 공개되었습니다.
기존에는 윈도우 XP만 가능했지만 현재는 더 넓어졌습니다.
윈도우XP, VISTA, 서버2003~2008, 7에서 동작합니다.
워너크라이는 작동 시 "wrcy.exe"라는 프로세스를 실행시키는데
해당 프로세스에서 RSA키를 생성하도록 되어있습니다.
해당 툴은 워너크라이 프로세스가 윈도우를 감염시키면서 키를 생성하는 과정에서
"CryptReleaseContext" "CryptDestroyKey" 와 관련된 메모리에서
값을 삭제하지 않는 취약점을 활용한 툴입니다.
따라서 해당 툴을 사용하려면
1. 감염 직후 PC를 재부팅하지 않아야하며 (제일중요)
2. 다른 프로세스가 메모리가 있는 부분을 덮어쓰지 않아야합니다.
또한 해당 툴은 위의 두가지 조건을 충족한다해도
간혹 작동이 되지 않을 가능성이 있어서 약간의 운빨도 필요합니다(...)
글쓰기