我们只是想发一篇简短的博客,让你知道一个为WannaCry/WannaCrypt/wCrypt开发的解密器(Wanakiwi)。但有一个问题,它只适用于以下操作系统:
- Windows XP
- Windows Server 2003.
- Windows Vista
- Windows Server 2008.
- Windows Server 2008 R2
- Windows 7的
所以,如果你在上述操作系统中感染了WannaCry病毒,还有希望!
重要的是:
解密器只有在你没有重新启动受感染的系统和你没有杀死勒索程序的情况下才会工作(应该是wnry.exe或wcry.exe)如果您想重新获取这些文件,请不要重新启动或杀死此过程!
用法
要使用此工具,您首先需要从中下载它这里.
该工具主要是在系统内存中搜索质数,并将使用的加密密钥拼凑在一起。但是,它依赖于当前运行的内存,所以一旦重新启动,它就会消失,如果您在感染病毒后对系统进行了太多操作,则可能无法找到密钥(因为它已经被使用相同内存空间的其他应用程序的数据覆盖了)。
要运行它,下载链接的文件(上面),并将。zip解压到桌面上的一个文件夹中(如果你可以从一个干净的系统下载文件,然后通过USB传输它,你运行的风险更小,在内存中覆盖密钥)。
接下来,你可以双击它(无聊)或打开命令提示符(开始+ CMD)并运行它(有趣!)。
该工具将自动识别在系统上运行的WannaCrypt应用程序,如果它们被称为wnry.exe或wcry.exe,但如果由于某种原因他们找不到它们,可能检查在你的系统上运行的应用程序(任务管理器/进程资源管理器)找到罪犯(它非常明显),然后识别过程识别号码(PID),您可以在Wanakiwi.exe之后将其插入命令提示符。
该工具可能需要几分钟的时间来找到密钥(在某些情况下可能需要好几分钟),但一旦找到密钥,该工具将开始在系统中搜索加密文件并自动解密它们。
掉出来
在该工具完成解密您的文件后,您将留下一个勒索信作为背景和大量加密文件旁边的未加密文件。
以下是一些可能的下一步:
- 下载伪3.0必威平台APP(或者无论您更喜欢清除Wannacry的扫描工具)并在系统上运行扫描,以识别与Wannacry相关的所有工件。这将帮助您从系统中获取恶意软件,以防它尝试再次加密。
- 重新启动计算机完成清理。
- 查找要保留的所有最重要的文件并将它们移动到某种形式的备份。
- 擦除系统并重新安装Windows。
- 或者您只能通过您的系统寻找带有.wncry扩展的所有文件并摆脱它们。
背景
搜索Wannakey Decryptor工具(对于XP)的原始内存擦洗,素数由Adrien Guinet写(@adriengnt),然后用作由Benjamin Delpy (@gentilkiwi).这些家伙非常有才华,值得我们为他们鼓掌!
我们发现了v v的工具广泛的博客文章由Matt Suiche(@msuiche),您应该查看哪些信息,以获取有关这些工具的工作方式。您可能会在他的帮助下记住Matt,以阻止上周发布的Wannacry的变种来注册杀戮域名。
有效性
我们不想写这个工具,直到我们测试了它的一些能力。许多其他安全研究人员已经尝试了它,似乎这个工具在实验室环境中工作得很好(有时)。我个人在Windows 7系统上测试了它,使用了下面的示例(结果好坏参半):
ED01EBFBC9EB5B7A545AF4D01BF5F1071661840480439C6105babe8e080e41aa
- 我的第一次测试非常有效。
- 我的第二个测试是用一个新的个人资料(为这篇文章截屏)无法真正启动恶意软件。
- 我的第三次测试启动了恶意软件,但解密程序花了很长时间,最终没有找到密钥。
- 我的第四个测试再次像魅力一样(原始配置文件)。
- 我们的其他一些研究人员也尝试过,但没有找到找到钥匙的工具。
结论
这个工具非常迅速地放在一起,这意味着帮助那些可以帮助的人,这可能不是每个人。我不建议将所有鸡蛋放在篮子里,如果你被击中,你无法使用这个工具解密,因为它是:
- 您可能无法恢复密钥OR
- 恶意软件将修改以清理运行内存或安装后强制重新启动以使工具无效
但是,如果您目前正在处理vannacry感染,则几乎没有触及受感染的系统,并且您正在运行在此帖子开头列出的操作系统之一,运行该工具不会打破任何内容’t already broken so it’s worth a shot just to see if you can get those files back.
据说,再次感谢@adriengnt@gentilkiwi& @Msuiche.感谢他们的辛勤劳动、信息传播和独特的发展技能。
如果此工具为您工作(以及您的配置也是如此!),请在评论中知道
评论