WannaKiwi – Công cụ giải mã hóa WannaCry

1014
Nếu máy tính của bạn đã vô tình nhiễm phải WannaCry trong đợt tấn công vừa rồi. Có thể bạn sẽ không phải trả tiền cho tin tặc để lấy lại dữ liệu nhờ công cụ này.

Adrien Guinet – một nhà nghiên cứu về an ninh của Pháp từ Quarkslab, đã phát hiện ra một cách để lấy lại khóa mã hóa từ WannaCry ransomware , nó hoạt động trên các hệ điều hành Windows XP, Windows 7, Windows Vista, Windows Server 2003 và 2008.

Hoạt động giải mã WannaCry Ransomware

Chương trình mã hóa của WannaCry hoạt động bằng cách tạo ra một cặp khóa trên máy tính của nạn nhân, dựa vào số nguyên tố, khoá công cộng và khóa riêng để mã hóa và giải mã các tập tin của hệ thống.

Để ngăn nạn nhân truy cập vào khoá cá nhân và tự giải mã các tập tin bị khóa, WannaCry sẽ xóa chìa khóa khỏi hệ thống, không để nạn nhân lấy lại chìa khóa giải mã trừ việc trả tiền chuộc cho kẻ tấn công.

Nhưng: WannaCry “không xóa những số nguyên tố khỏi trí nhớ trước khi giải phóng bộ nhớ liên quan,” Guinet nói.

Dựa trên phát hiện này, Guinet đã phát hành một công cụ giải mã ransomware WannaCry có tên là WannaKey ,

Tải tại đây : https://github.com/aguinet/wannakey/archive/master.zip

Tuy nhiên, phương pháp này đi kèm với một số hạn chế và sẽ chỉ hoạt động khi:

  • Máy tính bị ảnh hưởng chưa được khởi động lại sau khi bị nhiễm.
  • Bộ nhớ liên quan chưa được phân bổ và xóa bởi một số quy trình khác.

Guinet cho biết: “Để làm việc, máy tính của bạn không được khởi động lại sau khi bị nhiễm. Cũng xin lưu ý rằng bạn cần một số may mắn để làm việc này (xem dưới đây), và nó có thể không hoạt động trong mọi trường hợp!”

Trong khi WannaKey chỉ kéo các số nguyên tố từ bộ nhớ của máy tính bị ảnh hưởng, công cụ này chỉ có thể được sử dụng bởi những người có thể sử dụng những số nguyên tố để tạo chìa khóa giải mã bằng tay để giải mã tệp tin của máy tính bị nhiễm WannaCry.

WanaKiwi: Công cụ Giải mã WannaCry Ransomware

Tin tốt là nhà nghiên cứu bảo mật Benjamin Delpy đã phát triển một công cụ dễ sử dụng được gọi là ” WanaKiwi ” dựa trên phát hiện của Guinet, giúp đơn giản hoá toàn bộ quá trình giải mã tệp WannaCry.

Tất cả các nạn nhân phải làm là tải công cụ WanaKiwi từ Github và chạy nó trên máy tính Windows bị ảnh hưởng của họ bằng cách sử dụng dòng lệnh (cmd).

WanaKiwi làm việc trên Windows XP, Windows 7, Windows Vista, Windows Server 2003 và 2008, Matt Suiche đã xác nhận từ công ty bảo mật Comae Technologies, người cũng đã cung cấp một số bằng chứng cho thấy cách sử dụng WanaKiwi để giải mã các tệp của bạn.

Mặc dù công cụ sẽ không hoạt động cho mọi người dùng do sự phụ thuộc của nó, nhưng nó vẫn mang lại hy vọng cho WannaCry.

Mình sẽ update tiếp nếu có cách khác để cứu lấy dữ liệu của bạn ! Cảm ơn !!!!