[
Cách Giải Mã Virus WannaCry với công cụ WanaKiwi Free
Yêu Cầu
– Máy chưa được reboot
– Dữ liệu Không bị can thiệp trước khi dùng công cụ này
– Dữ liệu Không bị can thiệp trước khi dùng công cụ này
Cách sử dụng :
– PID (Process Id) là một tham số tùy chọn. Theo mặc định, wanakiwi tự động tìm kiếm
wanakiwi.exe <PID>
– PID (Process Id) là một tham số tùy chọn. Theo mặc định, wanakiwi tự động tìm kiếm
wnry.exe
hoặc wcry.exe
xử lý vì vậy không nên yêu cầu tham số này. Nhưng trong trường hợp, quá trình chính có một tên khác nhau, tham số này có thể được sử dụng như một tham số đầu vào.UPDATE : Trên thực tế, wanakiwi từ Benjamin Delpy (@gentilkiwi) hoạt động cho cả Windows XP (x86 ) và Windows 7 (x86 ) . Điều này có nghĩa là nó hoạt động với mọi phiên bản của Windows từ XP lên 7, bao gồm Windows 2003 (x86 ) , Vista và 2008 và 2008 R2.
Wannakey
Hôm qua, Adrien Guinet xuất bản một công cụ được gọi là wannakey để thực hiện phục hồi chìa khóa RSA trên Windows XP. Công cụ của ông là rất khéo léo vì nó không tìm chìa khóa thực tế nhưng số nguyên tố trong bộ nhớ để tính lại chính chính nó. Trong ngắn hạn, kỹ thuật của ông là hoàn toàn xấu ass và siêu thông minh.
Thật không may, điều này chỉ hoạt động trên Windows XP vì những giá trị này được làm sạch trong
CryptReleaseContext
phiên bản sau của Windows.UPDATE : Hãy quên đi câu nói trên, điều này đã được thử nghiệm thành công với wanakiwi lên Windows 7.
Như Adrien đã nêu trong README của mình, đây không phải là một sai lầm của tác giả nhưng là một vấn đề với Windows XP – bản thân tác giả chắc chắn sẽ phát hành khoá người sử dụng ngay khi chúng được thực hiện với nó. Và khóa đó không bao giờ chạm vào đĩa, trừ khi được mã hóa với khóa công khai của kẻ tấn công.
Mặc dù, một số vấn đề về định dạng tệp đã xảy ra với khóa xuất mà không tương thích với các công cụ khác như wanadecrypt từ Benjamin Delpy(@gentilkiwi) trên Windows XP vì các API Windows Crypt trên Windows XP đang mong đợi một đầu vào rất nghiêm ngặt Làm việc không giống như Windows 10 . Đó là lý do tại sao các bài kiểm tra ban đầu của tôi thất bại với phím ra bằng Wannakey.
Hơn nữa, định dạng tập tin đầu ra cũng không tương thích với WannaCry giá rẻ. Không giống như Wanakiwi từ gentilkiwi như chúng ta có thể thấy trong bản demo dưới đây.
Wanakiwi
- Download wanakiwi ở đây
- Wanakiwi.exe sẽ tự động tìm tệp 00000000.pky – vì vậy đừng lo lắng về bước đó nữa.
Wanakiwi cũng tái tạo các tập tin .dky mong đợi từ các ransomware bởi những kẻ tấn công, mà làm cho nó tương thích với bản thân ransomware.Điều này cũng ngăn cản các WannaCry để mã hóa các tập tin hơn nữa.
WanaKiwi từ Benjamin Delpy (@gentilkiwi) đang hoạt động (Windows XP)
WanaKiwi từ Benjamin Delpy (@gentilkiwi) đang hoạt động (Windows 7)
Cái gì sẽ đến tiếp theo ?
Như đã giải thích ở trên, phương pháp này dựa vào việc tìm số nguyên tố trong bộ nhớ nếu bộ nhớ chưa được sử dụng lại – điều này có nghĩa là sau một khoảng thời gian nhất định, bộ nhớ có thể được sử dụng lại và những số nguyên tố này có thể bị xóa. Ngoài ra, điều này có nghĩa là máy bị nhiễm không nên đã được khởi động lại.
Ngoài ra, công cụ này cho đến nay chỉ hoạt động trên Windows XP do một lỗ hổng hiện nay với việc thực
CryptReleaseContext
hiện. Đây là một bước tiến lớn.UPDATE : Hãy quên đi câu nói trên! Điều này hoạt động từ Windows XP sang Windows 7, và như bạn có thể thấy trên các ảnh chụp màn hình ở trên, nó đã được thử nghiệm!
Hôm nay ( ngày 19 tháng 5 ) đánh dấu ngày bị nhiễm thứ 7 ( bắt đầu vào ngày 12 ) – có nghĩa là nhiều người dùng có thể sẽ mất tập tin của họ mãi mãi kể từ ngày hôm nay như đã nêu trong cửa sổ lây nhiễm ban đầu.
Chúng tôi nhận thấy một đợt tăng đột biến quan trọng và bất thường trong chương trình diệt trừ của chúng tôi từ Malaysia vào ban đêm ( 3 giờ sáng đến 5 giờ sáng giờ GST ) khiến gần một nửa trong tổng số 10.000 máy chúng tôi đã ngăn ngừa được sự lây nhiễm Trong 24 giờ qua.
Tải về wanakiwi của gentilkiwi tại đây.
Tác Giả: Minh Hiếu