Francúzsky bezpečnostný výskumník Adrien Guinet našiel spôsob, ako dešifrovať šifrované súbory WannaCrypt Ransomware získaním šifrovacieho kľúča, ktorý používa ransomware WannaCrypt. V súčasnosti je však tento nástroj otestovaný a známy iba v systéme Windows XP, ale môže fungovať aj pre systémy Windows Vista, Windows 7 a Windows 8. V systéme Windows 10 však nebude fungovať.
Za priaznivých podmienok, WannaKey a WanaKiwi, dva dešifrovacie nástroje môžu dešifrovať šifrované súbory WannaCrypt alebo WannaCry Ransomware získaním šifrovacieho kľúča, ktorý používa ransomware.
WannaCry Ransomware Decryptor Nástroj
WannaKey funguje pri vyhľadávaní súkromných kľúčov RSA, ktoré Wannarypt používa v procese wcry.exe. Wcry.exe je proces, ktorý generuje Súkromný kľúč RSA, Hlavným problémom je, že ransomware nevymaže primárne čísla z pamäte pred uvoľnením pridruženej pamäte.
Existuje však úlovok. Tento nástroj bude fungovať len vtedy, ak ste po infikovaní počítač neštartovali a jeho pridružená pamäť nebola pridelená inému procesu.
Hovorí jej autor,
This is not really a mistake from the ransomware authors, as they properly use the Windows Crypto API. Indeed, for what I’ve tested, under Windows 10, CryptReleaseContext does clean up the memory (and so this recovery technique won’t work). It can work under Windows XP because, in this version, CryptReleaseContext does not do the cleanup.
Tento nástroj môžete použiť na dešifrovanie súborov.
K dispozícii je aj ďalší nástroj nazvaný WanaKiwi ktorý je založený na zisteniach spoločnosti Adrien a je k dispozícii na prevzatie od spoločnosti Github.
WanaKiwi also recreates the.dky files expect from the ransomware by the attackers, which makes it compatible with the ransomware itself too. This also prevents the WannaCry to encrypt further files.
Bolo testované na systémoch Windows XP, Windows XP a Windows 7 a môžete si ich prečítať viac tu.
TIP: Existuje niekoľko bezplatných nástrojov skenera pre očkovanie a zraniteľnosť pre nástroj WannaCry Ransomware.