Live Chat Software by Kayako |
May 23 |
2017-05-23 WannaCry一鍵解密
发布人 Pinky Lee on 23 May 2017 12:46 PM |
WannaCry 勒索病毒在全世界橫行霸道,雖然已經有人推測作者實際收到的贖金並不多,但是受到 WannaCry 病毒加密的檔案傷害仍然存在。不過有好消息了!一名歐洲的資安研究員 Adrien Guinet 發現 WannaCry 在運作過程會將產生金鑰用的質數遺留在記憶體中,因此若該記憶體區塊尚未被覆蓋,就可以透過截取到質數產生出同樣的金鑰,就可以使用該金鑰對已被加密的檔案進行解密。
這是如何達成的?該名資安研究員發現 WannaCry 在加密過程中使用 Windows Crypto API 產生金鑰並進行加密,但此 API 中的 CryptReleaseContext 及 CryptDestroyKey 函數並未將產生金鑰時產生的質數從記憶體中刪除,因此給了解密程式可以取得質數的機會。
終極解密工具:WanaKiwi而目前已經有專家 Benjamin Delpy 利用這個原理製作出名為「WanaKiwi」的解密工具,只要執行 WanaKiwi 提供的執行檔,就可以將所有被 WannaCry加密的檔案解密還原。
目前 WannaKiki 解密工具已經確認可在 Windows XP、Windows 7、Windows 2003 完成解密工作,Windows Vista、2008 及 2008 R2 利用此原理同樣可完成 (但尚未確認)。
Step1. 下載 WannaKiwi 解密程式
Step 2. 解壓縮並執行 wanakiwi.exe WanaKiwi 會自動從尋找並產生 WannaCry 加密所使用的金鑰。
Step 3. 祈求老天保佑記憶體還沒被覆蓋! 如果記憶體尚未被覆蓋,WanaKiwi 在產生金鑰後就會開始進行檔案解密的工作,你不需要再進行任何動作,只要靜待 WanaKiwi 完成解密工作即可! 各版本作業系統解密畫面大公開Windows XPWindows 7
參考來源:https://www.soft4fun.net/tech/news/decrypt-wannacry-wannakiwi.htm
| |