"想哭" WannaCry 勒索病毒在全世界橫行霸道，雖然已經有人推測作者實際收到的贖金並不多，但是受到 WannaCry 病毒加密的檔案傷害仍然存在。不過有好消息了！一名歐洲的資安研究員 Adrien Guinet 發現 WannaCry 在運作過程會將產生金鑰用的質數遺留在記憶體中，因此若該記憶體區塊尚未被覆蓋，就可以透過截取到質數產生出同樣的金鑰，就可以使用該金鑰對已被加密的檔案進行解密。

這是如何達成的？

該名資安研究員發現 WannaCry 在加密過程中使用 Windows Crypto API 產生金鑰並進行加密，但此 API 中的 CryptReleaseContext 及 CryptDestroyKey 函數並未將產生金鑰時產生的質數從記憶體中刪除，因此給了解密程式可以取得質數的機會。

詳細更進一步的資訊可以參考我們的這篇報導。

終極解密工具：WanaKiwi

而目前已經有專家 Benjamin Delpy 利用這個原理製作出名為「WanaKiwi」的解密工具，只要執行 WanaKiwi 提供的執行檔，就可以將所有被 WannaCry 加密的檔案解密還原。

！注意！

• 此程式不保證任何風險，如果有非常重要的檔案被加密，請務必謹慎考慮使用此工具
• 此程式需要在記憶體中搜尋所需資訊，使用前請勿重開機、關閉電腦
• 如果存放質數的記憶體區塊已被覆蓋則無法產生解密金鑰

目前 WannaKiki 解密工具已經確認可在 Windows XP、Windows 7、Windows 2003 完成解密工作，Windows Vista、2008 及 2008 R2 利用此原理同樣可完成 (但尚未確認)。

Step1. 下載 WannaKiwi 解密程式

Step 2. 解壓縮並執行 wanakiwi.exe

WanaKiwi 會自動從尋找並產生 WannaCry 加密所使用的金鑰。

Step 3. 祈求老天保佑記憶體還沒被覆蓋！

如果記憶體尚未被覆蓋，WanaKiwi 在產生金鑰後就會開始進行檔案解密的工作，你不需要再進行任何動作，只要靜待 WanaKiwi  完成解密工作即可！

各版本作業系統解密畫面大公開

Windows XP

Windows 7

更多WannaCry相關報導

• 上網看影片小心！駭客正在透過字幕檔入侵你的電腦！
• 解惑：WannaCry 勒索風暴 XP 逃過一劫，原來是被老系統唾棄
• XP 專用 WannaCry 勒索病毒解密工具 Wannkey + Wanafork
• 別哭！WannaCry 解密工具程式來了！ (Win 7/XP/2003/Vista可解密)
• UIWIX 勒索病毒趁火打劫，具備閃躲飄技能更難以追蹤與察覺(附檢測工具)