開源軟件Wannakey可恢復被加密數據

法國Quarkslab研究員阿德里安·古奈特（Adrien Guinet）表示，若是Windows XP系統遭到WCry勒索病毒的感染，那麼用戶能夠自行解密數據，而沒必要支付300至600美圓的贖金。

古奈特發佈了一款軟件。他表示，該軟件幫他發現了實驗室中被感染Windows XP計算機所需的數據解密密鑰。該軟件還沒有在Windows XP系統中獲得大範圍測試，而即便軟件有效，也仍然存在限制。在WCry病毒爆發的過程當中，Windows XP系統並非受影響的重災區，所以這一恢復技術的價值有限。

他將這款軟件命名爲Wannakey。他表示：「這款軟件只在Windows XP下進行過測試，而且已知只對Windows XP有效。若是但願使用這款軟件，那麼計算機在被感染以後不能進行太重啓。此外，你還須要必定的運氣，軟件可能不是對全部狀況都有效。」

Comae Technologies創始人、研究員馬特·蘇奇（Matt Suiche）報告稱，古奈特的解密工具沒有效果。

WCry勒索病毒也被稱做WannaCry，在感染計算機後會對計算機上的全部數據進行加密，而黑客要求受害者支付300至600美圓的贖金，從而得到恢復數據的密鑰。該勒索軟件使用了Windows中集成的微軟密碼API（應用程序接口）去處理多項功能，包括生成文件的加密解密密鑰。在建立並得到密鑰後，在大部分版本的Windows中，API會清除該密鑰。

不過，Windows XP存在的限制會致使API沒法清除密鑰。所以，在計算機關機重啓以前，用於生成WCry密鑰的主序列可能會一直駐留在內存中。WannaKey能掃描Windows XP系統內存，提取其中的相關信息。

古奈特表示：「若是你足夠幸運（即相關的內存塊還沒有被從新分配或清除），這些主序列可能仍駐留在內存裏。」

他同時在Twitter上表示：「我完整地完成了解密過程。我能夠確認，在這臺電腦上，密鑰能夠從XP中恢復。」他在Twitter消息中提供了電腦屏幕截圖。

原文來自：https://www.oschina.net/news/84991/wannacry-decryption-tool

本文地址：https://www.linuxprobe.com/open-sources-wannakey.html編輯員：郭建鵬，審覈員：逄增寶