Мина една седмица, откакто криптовирусът WannaCry вся смут из цял свят с невиждана по рода си ransomware атака, но ето, че се появи първият инструмент, който може да декриптира криптираните от него файлове.
Софтуерен изследовател с името [url=https://twitter.com/adriengnt“ target=“_blank“ rel=“nofollow noopener noreferrer]Adrien Guinet[/url] съобщава, че е намерил начин за излекуването на инфектирани от WannaCry компютри.
Той е работил специално по случая и засега неговото откритие работи само при Windows XP, което също не е никак малко, защото в повечето случаи криптираните от криптовируси файлове остават завинаги такива.
Добавено:
Има нов декриптор, който работи и при Windows 7. Инструментът се казва Wanakiwi и може да бъде свален от тук.
Adrien Guinet е успял да разбие криптирането, след като е намерил първичните числа, които заместват частния RSA ключ, който се използва от WannaCry криптовируса.
I got to finish the full decryption process, but I confirm that, in this case, the private key can recovered on an XP system #wannacry!! pic.twitter.com/QiB3Q1NYpS
— Adrien Guinet (@adriengnt) May 18, 2017
Guinet отваря кода на своя инструмент, който той нарича WannaKey и го е качил за публично сваляне в това Git хранилище.
Има обаче някои особености, за да можете да получите достъп до криптираните си файлове. Инструментът не работи при всички случаи, а и има важно условие компютърът да не е бил рестартиран след като е бил инфектиран.
„За да работи инструментът, вашият компютър не трябва да е бил рестартиран, след като е бил инфектиран. Моля, обърнете внимание, че също така имате нужда от малко късмет, защото инструментът не работи при всички случаи“, обяснява Guinet.
Фактът, че Guinet отваря кода на WannaKey, може да помогне на други разработчици да обединят усилията си и да подбрят инструмента, за да може той да работи при всички случаи и други версии на Windows.
Засега е намерена слабост при начина на работа на WannaCry, която позволява разбиването на криптиране при няки случаи. След като WannaCry инфектира компютъра ви и криптира файловете, частните ключове се запазват в RAM паметта и често се случва така, че да не бъдат изтрити.
Точно в тези случаи потребителят може да се надява, че използваната памет не е била дислоцирана и изтрита, което позволява на инструмента на Guinet WannaKey да вземе първичните числа и да разбие криптирането, което да върне вашите файлове.