【教學】有救了,WannaCry 解密工具來了! (支援 Win7/XP/Vista/2008)

「WannaCry」想哭勒索病毒肆虐全球,雖然攻勢減弱很多又已經有預防方式,但針對被想哭勒索軟體加密的檔案該怎麼辦呢?法國資安人員 Adrien Guinet 發現 WannaCry 在執行過程中,會將加密金鑰留在記憶體裡,只要這個記憶體沒有被覆蓋,就能擷取出秘密金鑰並透過解密工具「WanaKiwi」解除檔案加密。這樣一來,不用付贖金也可以解鎖加密檔案,快來看看該怎麼做吧!

什麼是加密金鑰?

加密金鑰是 WannaCry 加密/解密檔案時所需的密碼,一共會有兩組,一組是加密檔案用、一組是用來解秘檔案;找到「想哭」金鑰的是法國資安人員 Adrien Guinet,他發現 Wannacry 利用兩組質數產生金鑰,而 Windows 的 API 就利用金鑰進行 RSA 加密,但在產生金鑰過程中,Wannacry 會將「質數」存在電腦記憶體裡,所以只要從記憶體裡找出這組質數,就能反推找到解密金鑰。

解密工具有什麼注意事項?

在 Adrien Guinet 發現加密金鑰沒被刪除、可以從記憶體找到後,另一位資安專家 Benjamin Delpy 就利用這原理製作出「WanaKiwi」解密工具,但是想要解密檔案有幾點要注意:

  • 解密工具需要在記憶體搜尋資料,使用之前電腦不能重開機、不能關電腦;主因是重開機後,記憶體的資料很可能全部清除。
  • 如果儲存質數金鑰的記憶體被覆蓋,就無法找到解密金鑰;主因是我們在電腦處理每件事都需要記憶體快取資料,而新檔案有可能會將舊檔案覆蓋掉。
  • 雖然解密程式工具是資安專家研發,但仍可能會有風險,使用時仍需慎重考慮。

除了以上三點注意事項之外,WannaKiki 解密工具目前已經確認可以完成解密 Windows XP、Windows Vista、Windows 7、Windows Server 2003 / 2008 的檔案了。

該如何使用 WannaKiki 解密工具?

第一步:WannaKiki 解密工具目前被放在 Github 網站上,使用前必須先下載壓縮檔。

下載連結

第二步:解壓縮並執行 wanakiwi.exe 程式檔,它會自動搜尋質數金鑰並會自動解檔。

相關資料:

圖片及資料來源:IndependentMashableThe Hacker News

Related Posts Plugin for WordPress, Blogger...

  • 大家對網站文章上的一個讚、+1及轉分享,都是對我們的最好的鼓勵及繼續下去的原動力,請大家不要吝嗇。

標籤: ,