导语:如果你使用Windows XP系统,中招了并且电脑没有重启过,可以试试这款解密工具。
法国Quarkslab研究员阿德里安·古奈特(Adrien Guinet)周四表示,如果Windows XP系统遭到WCry勒索病毒的感染,用户可以自行解密数据,不必支付300至600美元的赎金。
阿德里安·古奈特(Adrien Guinet)发布了他所说的软件,该软件在实验室里恢复了感染的XP电脑所需的数据解密密钥。目前该软件尚未经过测试,看是否可以在各种XP计算机上可靠运行,不过即使它可以正常运行,也仍然有局限性。恢复技术的价值也是有限的,因为Windows XP计算机并不是上周 WCry 大爆发的主要目标。不过,对于那些受到影响的XP用户来说,还是会有所帮助的。
“这个软件目前只是在Windows XP下测试了可以进行工作”,他在该应用程序附带的自述文件中这样写道,他将其称之为Wannakey。“如果希望使用这款软件,那么计算机在被感染之后不能进行过重启。此外,你还需要一定的运气,软件可能不是对所有情况都有效。”
Comae Technologies创始人、研究员马特·苏奇(Matt Suiche)报告称,古奈特的解密工具在他这里并没有任何效果。
WCry勒索病毒也被称作WannaCry,在感染计算机后会对计算机上的所有数据进行复制,然后将源文件删除,复制文件进行加密,黑客要求受害者支付300至600美元的赎金才能获得恢复数据的密钥。该勒索软件使用了Windows中集成的微软密码API(应用程序接口)去处理多项功能,包括生成文件的加密解密密钥。在创建并获得密钥后,在大部分版本的Windows中,API会清除该密钥。
一个在XP以前忽略的限制,但是,可以防止擦除之处在于Windows版本出现。结果,用于生成WCry密钥的素数可以在计算机存储器中保持不变,直到PC断电。Wannakey能够成功地清理受感染的XP机器的内存,并提取秘密密钥所基于的p和q变量。
阿德里安·古奈特(Adrien Guinet)表示:“如果你是足够幸运(即相关的内存块尚未被重新分配或清除)的,那么这些主序列可能仍然会留在内存里。”
除此之外,他还在Twitter上表示:“我真的已经完整地完成了解密过程。我非常确认,在这台电脑上,密钥可以从XP中恢复。”他在Twitter消息中提供了上文的屏幕截图。
不过到目前为止,没有迹象表明,当勒索软件感染了Windows的更高版本时,允许阿德里安·古奈特(Adrien Guinet)恢复WCry密钥的限制。这意味着其他版本的WCry受害者仍然没有已知的方式来解密他们的数据,除了支付赎金。不过,阿德里安·古奈特(Adrien Guinet)的发现仍然为此提供了希望。那些被WCry感染的且有重要数据的人都应该避免重新启动电脑,等待进一步研究的结果出现。
ps:在本文发布时,腾讯电脑管家团队跟进Adrien Guinet的研究结果,推出了针对XP系统的简易解密工具,需要的用户可以点我自取。
ps2:安天团队也跟进研究推出了相关工具,大家http://www.antiy.com/tools.html可点我查看。