WanaKiwi:對抗勒索病毒 WanaCrypt0r 解密工具出現!

勒索病毒 WanaCrypt0r想哭)在上週洗捲全世界,導致不少機關單位與用戶的電腦資料在一夕之間化為烏有,而有專家估算製造勒索病毒作者實際收到的勒索金額也並不會太多,但 WanaCrypt0r 還是持續在全世界活躍者,依舊會繼續感染未更新的電腦,但這惡夢要持續多久才會消失呢?被感染的電腦資料還能否救會?最近有位歐洲資安研究員Adrien Guinet就替WanaCrypt0r推出了解密工具,用戶就不需要在擔心自己的電腦要在透過其它還原工具來救回部分資料。

 

解密工具是如何獲取金鑰?

這名資安研究員Adrien Guinet意外發現WanaCrypt0r在加密時,會使用Windows Crypto API來產生金鑰後,在開始系統背景下進行所有檔案的加密工作,而API中所使用的CryptReleaseContext及CryptDestroyKey函數都還尚未在金鑰產生時的質數,還保存在記憶體中並未被刪除,這就讓解密工具可以再取出質數的機會。

 

解密工具WanaKiwi下載與使用教學

根據以上的原理方法,有資深程式設計師Benjamin Delpy推出了WanaKiwi解密工具,如果用戶真的已經感染,到目前電腦都還尚未刪除資料,或許可以透過這款WanaKiwi解密工具來進行解密,就能夠讓已經被WanaCrypt0r加密的檔案再次還原到預設檔案格式。

  • 僅能在無重新開機時才能夠解密。

支援系統

  • Windows XP、Windows 7、Windows 2003
  • (尚未確定)Windows Vista、2008 及 2008 R2

WanaKiwi下載位置

點我去下載wanakiwi工具

 

操作教學

步驟1. 點選 WanaKiwi.zip下載至電腦上後,將壓縮檔解壓開來。

步驟2. 執行wanakiwi.exe進行搜尋被加密的金鑰。

步驟3. 詳細可參考底下的動畫圖效果。不過這步驟要在記憶體還沒有覆蓋時候下執行才有救,如果有找到金鑰就會開始解密工作。

Windows 7的解密過程如下

如果覺得這篇不錯,歡迎將本篇分享給更多朋友知道,避免還會有下一位受害者。

【 ▼ 如喜歡瘋先生教學歡迎加入粉絲團 ▼ 】

★★ 除了粉絲團外,另也可以一起加入由瘋先生開設的臉書社團點我加入,裡面會有不少高手會一起跟大家互動,並回答問題。 ★★


★ 聲明:本文版權所有,非經瘋先生授權,不得轉載!如在其他網站上看見此篇教學,表示該篇文章為盜文,建議請回到mrmad.com.tw網站上觀看教學。

你可能有興趣的文章