別哭!WannaCry 解密工具程式來了! (Win 7/XP/2003/Vista可解密)

-

“想哭” WannaCry 勒索病毒在全世界橫行霸道,雖然已經有人推測作者實際收到的贖金並不多,但是受到 WannaCry 病毒加密的檔案傷害仍然存在。不過有好消息了!一名歐洲的資安研究員 Adrien Guinet 發現 WannaCry 在運作過程會將產生金鑰用的質數遺留在記憶體中,因此若該記憶體區塊尚未被覆蓋,就可以透過截取到質數產生出同樣的金鑰,就可以使用該金鑰對已被加密的檔案進行解密。

這是如何達成的?

該名資安研究員發現 WannaCry 在加密過程中使用 Windows Crypto API 產生金鑰並進行加密,但此 API 中的 CryptReleaseContext 及 CryptDestroyKey 函數並未將產生金鑰時產生的質數從記憶體中刪除,因此給了解密程式可以取得質數的機會。

詳細更進一步的資訊可以參考我們的這篇報導

終極解密工具:WanaKiwi

而目前已經有專家 Benjamin Delpy 利用這個原理製作出名為「WanaKiwi」的解密工具,只要執行 WanaKiwi 提供的執行檔,就可以將所有被 WannaCry 加密的檔案解密還原。

!注意!

  • 此程式不保證任何風險,如果有非常重要的檔案被加密,請務必謹慎考慮使用此工具
  • 此程式需要在記憶體中搜尋所需資訊,使用前請勿重開機、關閉電腦
  • 如果存放質數的記憶體區塊已被覆蓋則無法產生解密金鑰

目前 WannaKiki 解密工具已經確認可在 Windows XP、Windows 7、Windows 2003 完成解密工作,Windows Vista、2008 及 2008 R2 利用此原理同樣可完成 (但尚未確認)。

Step1. 下載 WannaKiwi 解密程式

別哭!WannaCry 解密工具程式來了! (Win 7/XP/2003/Vista可解密) image-57

Step 2. 解壓縮並執行 wanakiwi.exe

WanaKiwi 會自動從尋找並產生 WannaCry 加密所使用的金鑰。

別哭!WannaCry 解密工具程式來了! (Win 7/XP/2003/Vista可解密) image-58

Step 3. 祈求老天保佑記憶體還沒被覆蓋!

如果記憶體尚未被覆蓋,WanaKiwi 在產生金鑰後就會開始進行檔案解密的工作,你不需要再進行任何動作,只要靜待 WanaKiwi  完成解密工作即可!

各版本作業系統解密畫面大公開

Windows XP

Windows 7

更多WannaCry相關報導

相關文章
手哥 HANDBRO
手哥 HANDBRO
硬是要學共同創辦人兼職打雜編輯,熱愛網路、熱愛 3C!腦袋是個不定時炸彈,隨時會炸出新玩意兒!如有開箱、評測或各種合作需求,請洽:contact@soft4fun.net。 YouTube 頻道:手哥科科
6 評論

留下一個評論

請輸入你的評論!
請在這裡輸入你的名字

- 廣告 -
網站搜尋
看更多新聞
我們的頻道
- 廣告 -
轉分享文章