Egy francia biztonsági kutató Adrien Guinet megtalálta a WannaCrypt Ransomware titkosított fájlok dekódolásának módját a WannaCrypt ransomware által használt titkosítási kulcs lekérésével. Jelenleg azonban ez az eszköz csak Windows XP alatt működik, és csak Windows Vista, Windows 7 és Windows 8 alatt működik. Ez azonban nem működik a Windows 10 operációs rendszeren.
Kedvező körülmények között, WannaKey és WanaKiwikét dekódoló eszköz segíthet a WannaCrypt vagy WannaCry Ransomware titkosított fájlok dekódolásában a ransomware által használt titkosítási kulcs visszanyerésével.
WannaCry Ransomware Decryptor Tool
WannaKey a Wcanarypt által a wcry.exe folyamatban használt RSA privát kulcsok keresésekor dolgozik. A Wcry.exe az a folyamat, amely a RSA privát kulcs. A fő probléma az, hogy a felszabadító szoftver nem törli a főszámokat a memóriából, mielőtt felszabadítja a kapcsolódó memóriát.
Van azonban egy fogás. Ez az eszköz csak akkor működik, ha a számítógépes rendszert újra nem indította meg fertőzés után, és a hozzá tartozó memóriát nem osztották ki egy másik folyamatnak.
Mondja a szerzője,
This is not really a mistake from the ransomware authors, as they properly use the Windows Crypto API. Indeed, for what I’ve tested, under Windows 10, CryptReleaseContext does clean up the memory (and so this recovery technique won’t work). It can work under Windows XP because, in this version, CryptReleaseContext does not do the cleanup.
Ezt az eszközt a fájlok dekódolásához használhatja.
Van még egy másik nevű eszköz WanaKiwi amely alapja Adrien megállapításai, és letölthető a Github.
WanaKiwi also recreates the.dky files expect from the ransomware by the attackers, which makes it compatible with the ransomware itself too. This also prevents the WannaCry to encrypt further files.
Windows XP, Windows XP és Windows 7 alatt tesztelték, és erről többet olvashat itt.
TIPP: Van néhány ingyenes vakcinázó és sebezhetőség szkennelő eszköz a WannaCry Ransomware számára is.
