Ranskalainen tietoturva-asiantuntija Adrien Guinet on löytänyt tapan purkaa WannaCrypt Ransomware -editoistetut tiedostot hakemalla WannaCrypt-ransomware -ohjelman salausavain. Tällä hetkellä tämä työkalu on kuitenkin testattu ja tunnetusti toimii vain Windows XP: ssä, mutta se voi toimia myös Windows Vistan, Windows 7: n ja Windows 8: n kanssa. Se ei kuitenkaan toimi Windows 10: ssa.
Suotuisissa olosuhteissa, WannaKey ja WanaKiwi, kaksi salauksen purkuohjelmistoa voivat auttaa purkamaan WannaCryptin tai WannaCry Ransomware -tiedoston haetut tiedostot etsimällä ransomware-salausavaimen.
WannaCry Ransomware Decryptor Tool
WannaKey etsii RSA: n yksityisiä avaimia, joita Wannarypt käyttää wcry.exe-prosessissa. Wcry.exe on prosessi, joka luo RSA-yksityinen avain. Tärkein ongelma on se, että irtisanomisohjelma ei poista ensisijaisia numeroita muistiin ennen kuin vapauttaa siihen liittyvä muisti.
On kuitenkin kiinni. Tämä työkalu toimii vain, jos tietokonetta ei ole käynnistetty uudelleen sen jälkeen, kun se on saanut tartunnan, eikä siihen liitettyä muistia ole varattu johonkin muuhun prosessiin.
Sanoo tekijänsä,
This is not really a mistake from the ransomware authors, as they properly use the Windows Crypto API. Indeed, for what I’ve tested, under Windows 10, CryptReleaseContext does clean up the memory (and so this recovery technique won’t work). It can work under Windows XP because, in this version, CryptReleaseContext does not do the cleanup.
Tämän työkalun avulla voit purkaa tiedostoja.
On myös toinen työkalu nimeltä WanaKiwi joka perustuu Adrienin havaintoihin ja se on ladattavissa Githubista.
WanaKiwi also recreates the.dky files expect from the ransomware by the attackers, which makes it compatible with the ransomware itself too. This also prevents the WannaCry to encrypt further files.
Se on testattu Windows XP: ssä, Windows XP: ssä ja Windows 7: ssä, ja voit lukea lisää tästä tässä.
KÄRKI: WannaCry Ransomware -ohjelmistolla on myös joitain vapaita rokotteita ja haavoittuvuustarkistustyökaluja.
