「加三嘻行動哇 Yipee! 成為好友」
【Facebook、Youtube、Twitter、Instagram、Telegram、Line】
「WannaCry」想哭勒索病毒肆虐全球,雖然攻勢減弱很多又已經有預防方式,但針對被想哭勒索軟體加密的檔案該怎麼辦呢?法國資安人員 Adrien Guinet 發現 WannaCry 在執行過程中,會將加密金鑰留在記憶體裡,只要這個記憶體沒有被覆蓋,就能擷取出秘密金鑰並透過解密工具「WanaKiwi」解除檔案加密。這樣一來,不用付贖金也可以解鎖加密檔案,快來看看該怎麼做吧!
什麼是加密金鑰?
加密金鑰是 WannaCry 加密/解密檔案時所需的密碼,一共會有兩組,一組是加密檔案用、一組是用來解秘檔案;找到「想哭」金鑰的是法國資安人員 Adrien Guinet,他發現 Wannacry 利用兩組質數產生金鑰,而 Windows 的 API 就利用金鑰進行 RSA 加密,但在產生金鑰過程中,Wannacry 會將「質數」存在電腦記憶體裡,所以只要從記憶體裡找出這組質數,就能反推找到解密金鑰。
解密工具有什麼注意事項?
在 Adrien Guinet 發現加密金鑰沒被刪除、可以從記憶體找到後,另一位資安專家 Benjamin Delpy 就利用這原理製作出「WanaKiwi」解密工具,但是想要解密檔案有幾點要注意:
- 解密工具需要在記憶體搜尋資料,使用之前電腦不能重開機、不能關電腦;主因是重開機後,記憶體的資料很可能全部清除。
- 如果儲存質數金鑰的記憶體被覆蓋,就無法找到解密金鑰;主因是我們在電腦處理每件事都需要記憶體快取資料,而新檔案有可能會將舊檔案覆蓋掉。
- 雖然解密程式工具是資安專家研發,但仍可能會有風險,使用時仍需慎重考慮。
除了以上三點注意事項之外,WannaKiki 解密工具目前已經確認可以完成解密 Windows XP、Windows Vista、Windows 7、Windows Server 2003 / 2008 的檔案了。
該如何使用 WannaKiki 解密工具?
第一步:WannaKiki 解密工具目前被放在 Github 網站上,使用前必須先下載壓縮檔。
下載連結
第二步:解壓縮並執行 wanakiwi.exe 程式檔,它會自動搜尋質數金鑰並會自動解檔。
相關資料:
- 20 款主流防毒軟體,誰能真正防禦 WannaCry?權威評測 AV-C 公佈結果!
- 小心!勒索病毒新變種UIWIX及挖礦木馬伺機而動,隨時備份別掉以輕心!
- 2017年 Top 10 付費防毒資安軟體
- Windows XP / Vista / 8 別怕 「WanaCrypt0r 2.0」勒索軟體!微軟釋出修補專用的安全更新
- 如何避免「WanaCrypt0r 2.0」勒索軟體攻擊及偵測電腦是否已中毒,方法大公開!(更新補充)
圖片及資料來源:Independent、Mashable、The Hacker News