Tổng cộng:
Nếu máy tính của bạn đã bị lây nhiễm bởi WannaCry - thứ giáp rổ đã tàn phá trên toàn thế giới vào thứ Sáu tuần trước - có thể bạn sẽ may mắn nhận được các tập tin bị khoá lại mà không phải trả tiền chuộc 300 đô la cho bọn tội phạm mạng.
Adrien Guinet, một nhà nghiên cứu về an ninh của Pháp từ Quarkslab, đã phát hiện ra một cách để lấy ra các khoá mã hóa bí mật được sử dụng miễn phí cho WannaCry ransomware , nó hoạt động trên các hệ điều hành Windows XP, Windows 7, Windows Vista, Windows Server 2003 và 2008.
Phím giải mã WannaCry Ransomware
Chương trình mã hóa của WannaCry hoạt động bằng cách tạo ra một cặp khóa trên máy tính của nạn nhân, dựa vào số nguyên tố, khoá công cộng và khóa riêng để mã hóa và giải mã các tập tin của hệ thống.
Để ngăn nạn nhân truy cập vào khoá cá nhân và tự giải mã các tập tin bị khóa, WannaCry sẽ xóa chìa khoá khỏi hệ thống, không để nạn nhân lấy lại chìa khóa giải mã trừ việc trả tiền chuộc cho kẻ tấn công.
Nhưng đây là sự khởi đầu: WannaCry "không xóa những số nguyên tố khỏi trí nhớ trước khi giải phóng bộ nhớ liên quan," Guinet nói.
Dựa trên phát hiện này, Guinet đã phát hành một công cụ giải mã ransomware WannaCry mang tên WannaKey về cơ bản nhằm lấy ra hai số nguyên tố, được sử dụng trong công thức để tạo ra các khoá mã hóa từ bộ nhớ, và chỉ hoạt động trên Windows XP. Lưu ý: Dưới đây tôi cũng đã đề cập đến công cụ khác, được gọi là WanaKiwi ,
Máy tính bị ảnh hưởng chưa được khởi động lại sau khi bị nhiễm.
Bộ nhớ liên quan chưa được phân bổ và xóa bởi một số quy trình khác.
Guinet cho biết: " Để làm việc, máy tính của bạn không được khởi động lại sau khi bị nhiễm bệnh. Cũng xin lưu ý rằng bạn cần một số may mắn để làm việc này (xem dưới đây), và nó có thể không hoạt động trong mọi trường hợp! "
" Đây không phải là một sai lầm của các tác giả ransomware vì họ sử dụng đúng API Windows Crypto. "
Trong khi WannaKey chỉ kéo các số nguyên tố từ bộ nhớ của máy tính bị ảnh hưởng, công cụ này chỉ có thể được sử dụng bởi những người có thể sử dụng những số nguyên tố để tạo chìa khóa giải mã theo cách thủ công để giải mã các tập tin bị nhiễm WannaCry của máy tính.
WanaKiwi: Công cụ Giải mã WannaCry Ransomware. Tin tốt là nhà nghiên cứu bảo mật Benjamin Delpy đã phát triển một công cụ dễ sử dụng được gọi là " WanaKiwi " dựa trên phát hiện của Guinet, giúp đơn giản hoá toàn bộ quá trình giải mã tệp WannaCry.
Tất cả các nạn nhân phải làm là tải công cụ WanaKiwi từ Github và chạy nó trên máy tính Windows bị ảnh hưởng của họ bằng cách sử dụng dòng lệnh (cmd).
WanaKiwi làm việc trên Windows XP, Windows 7, Windows Vista, Windows Server 2003 và 2008, đã xác nhận Matt Suiche từ công ty bảo mật Comae Technologies, người cũng đã cung cấp một số cuộc biểu tình cho thấy cách sử dụng WanaKiwi để giải mã các tệp của bạn.
Mặc dù công cụ sẽ không hoạt động cho mọi người dùng do sự phụ thuộc của nó, nhưng nó vẫn cho phép hy vọng WannaCry '
