WannaCry利用AES-128和RSA算法加密,這讓超級電腦解密都需時多年。有專家就利用Windows XP多年前的一個漏洞成功解密。這個舊版本Windows XP的漏洞,就是系統的隨機數生成器並不是「真隨機」。在生成隨機數後,系統不會將其立刻從RAM裡清除!故有一從事安全公司Quarkslab的研究人員Adrien Guinet,就在其Github上公佈了可以用於恢復WannaCry加密文件的工具WannaKey。
而要使用這個工具,也要滿足兩個條件:
1, Windows版本是XP SP2的早期版本或SP2以前的版本,因為之後的版本修復了隨機數生成器漏洞。
2, 你的電腦在中毒之後沒有重新啟動過,否則存留在內存裡的隨機數會在重啟時被刪除。
下载地址
如果你滿足了上述兩個條件,那可以在GitHub上下載到WannaKey來獲取密鑰,並於同一個作者那裡下載到用於解密文件的工具WanaFork。換句話說,小編看來要重裝回Windows SP1先得,咁中左勒索病毒,隨時都有得免費解密。
來源:twitter@Adrien Guinet,github
==========
消息更新,Windows Windows 7、Windows 2003 同樣有救:
WannaCry 在加密過程中使用 Windows Crypto API 產生金鑰並進行加密,但此 API 中的 CryptReleaseContext 及 CryptDestroyKey 函數並未將產生金鑰時產生的質數從記憶體中刪除,因此給了解密程式可以取得解密的機會。
目前已經有專家 Benjamin Delpy 利用以上原理,製作出「WanaKiwi」的解密工具,只要執行 WanaKiwi 提供的執行檔,就可以將所有被 WannaCry 加密的檔案解密還原。已經確認可在 Windows XP、Windows 7、Windows 2003 完成解密工作,Windows Vista、2008 及 2008 R2 利用此原理同樣可完成。
來源:soft4fun