Prantsuse julgeoleku uurija Adrien Guinet on leidnud viisi WannaCrypt Ransomware krüptitud failide dekrüpteerimiseks, laadides alla WannaCrypt ransomaterjal kasutatava krüpteerimisvõtme. Praegu on seda tööriista katsetatud ja tuntud ainult Windows XP-s, kuid see võib töötada ka Windows Vista, Windows 7 ja Windows 8 puhul. See aga ei tööta Windows 10-s.
Soodsatel tingimustel WannaKey ja WanaKiwi, kaks dekodeerimisvahendit aitavad Wanscrypt või WannaCry Ransomware krüptitud faile dekrüpteerida, hankides krüpteerimisvõtme, mida ransomäärt kasutab.
WannaCry Ransomware Decryptor Tool
WannaKey töötab, otsides Wannrypt WCry.exe-protsessis kasutatud RSA privaatvõtmeid. Wcry.exe on protsess, mis genereerib RSA privaatvõti. Peamine küsimus on selles, et ransomäärt ei kustuta mälu peamised numbrid enne vastava mälu vabastamist.
Siiski on saak. See tööriist töötab ainult siis, kui te ei ole pärast nakatamist arvuti taaskäivitanud ja seostatud mälu pole mõnele muule protsessile eraldatud.
Ütleb selle autor
This is not really a mistake from the ransomware authors, as they properly use the Windows Crypto API. Indeed, for what I’ve tested, under Windows 10, CryptReleaseContext does clean up the memory (and so this recovery technique won’t work). It can work under Windows XP because, in this version, CryptReleaseContext does not do the cleanup.
Selle tööriista abil saate oma faile dekrüpteerida.
On olemas ka teine tööriist WanaKiwi mis põhineb Adrieni leitudel ja on saadaval allalaadimiseks Githubist.
WanaKiwi also recreates the.dky files expect from the ransomware by the attackers, which makes it compatible with the ransomware itself too. This also prevents the WannaCry to encrypt further files.
Seda on testitud nii Windows XP, Windows XP kui ka Windows 7-s ning saate seda rohkem lugeda siin.
TIP: WannaCry Ransomware saadaval on ka mõni tasuta Vaccinator ja haavatavuse skanneri tööriist.
