Френският изследовател по сигурността Адриен Гуит намери начин да декриптира криптираните файлове на WannaCrypt Ransomware, като извлече кода за шифроване, използван от ransomware на WannaCrypt. Но в момента този инструмент е тестван само и е известно, че работи само под Windows XP, но може да работи и за Windows Vista, Windows 7 и Windows 8. Тя обаче няма да работи на Windows 10.
При благоприятни условия, WannaKey и WanaKiwi, два инструмента за декриптиране могат да помогнат за дешифрирането на криптирани файлове WannaCrypt или WannaCry Ransomware чрез извличане на ключа за шифроване, използван от ransomware.
WannaCry Ransomware Decryptor Tool
WannaKey работи чрез търсене на частните ключове RSA, които се използват от Wannarypt в процеса wcry.exe. Wcry.exe е процесът, който генерира RSA частен ключ, Основният проблем е, че ransomware не изтрива първите номера от паметта, преди да освободи свързаната памет.
Има обаче улов. Този инструмент ще работи само ако не сте рестартирали компютърната система след заразяване и свързаната памет не е била разпределена към друг процес.
Авторът твърди,
This is not really a mistake from the ransomware authors, as they properly use the Windows Crypto API. Indeed, for what I’ve tested, under Windows 10, CryptReleaseContext does clean up the memory (and so this recovery technique won’t work). It can work under Windows XP because, in this version, CryptReleaseContext does not do the cleanup.
Можете да използвате този инструмент за декриптиране на файловете си.
Има и друг инструмент, наречен WanaKiwi, която се основава на констатациите на Adrien и е достъпна за изтегляне от Github.
WanaKiwi also recreates the.dky files expect from the ransomware by the attackers, which makes it compatible with the ransomware itself too. This also prevents the WannaCry to encrypt further files.
Тя е тествана на Windows XP, Windows XP, както и Windows 7 и можете да прочетете повече за това тук.
БАКШИШ: Има и някои безплатни инструменти за скенер за ваксиниране и уязвимост за WannaCry Ransomware.
