Francijas drošības pētnieks Adrien Guinet ir atradis veidu, kā atšifrēt WannaCrypt Ransomware šifrētos failus, izgūstot WannaCrypt ransomware izmantoto šifrēšanas atslēgu. Bet šobrīd šis rīks ir pārbaudīts tikai un zināms, ka tas darbojas tikai ar Windows XP, taču tas var strādāt arī operētājsistēmām Windows Vista, Windows 7 un Windows 8. Tomēr tas nedarbosies operētājsistēmā Windows 10.
Labvēlīgos apstākļos WannaKey un WanaKiwi, divi atšifrēšanas rīki var palīdzēt atšifrēt WannaCrypt vai WannaCry Ransomware šifrētos failus, izgūstot šifrēšanas atslēgu, ko izmanto ransomware.
WannaCry Ransomware atšifrēšanas rīks
WannaKey strādā, meklējot RSA privātās atslēgas, kuras Wannarypt izmanto wcry.exe procesā. Wcry.exe ir process, kas ģenerē RSA privātā atslēga. Galvenais jautājums ir tāds, ka ransomware neizdzēš galvenos skaitļus no atmiņas, pirms atbrīvo saistīto atmiņu.
Tomēr ir nozveja. Šis rīks darbosies tikai tad, ja pēc inficēšanās datorsistēma nav pārstartēta un saistītā atmiņa nav piešķirta kādam citam procesam.
Says its author,
This is not really a mistake from the ransomware authors, as they properly use the Windows Crypto API. Indeed, for what I’ve tested, under Windows 10, CryptReleaseContext does clean up the memory (and so this recovery technique won’t work). It can work under Windows XP because, in this version, CryptReleaseContext does not do the cleanup.
Jūs varat izmantot šo rīku, lai atšifrētu savus failus.
Ir arī cits instruments, ko sauc WanaKiwi tas ir balstīts uz Adriena atradumiem un ir pieejams lejupielādei no Github.
WanaKiwi also recreates the.dky files expect from the ransomware by the attackers, which makes it compatible with the ransomware itself too. This also prevents the WannaCry to encrypt further files.
Tas ir pārbaudīts uz Windows XP, Windows XP un Windows 7, un jūs varat uzzināt vairāk par to šeit.
PADOMS: Ir pieejami arī daži bezmaksas WantsCry Ransomware pieejamie vakcināļa un neaizsargātības skeneru rīki.