content-img.png

Ранее мы писали, что специалист французской компании Quarkslab Адриен Гинье создал инструмент WannaKey, который позволяет найти ключ для расшифровки файлов, зашифрованных вирусом WannaCry. К сожалению, его программа восстанавливает файлы только на компьютерах с Windows XP.

На базе WannaKey был создан ещё один дешифровщик, который получил название wanakiwi и помимо Windows XP совместим с более свежими версиями Windows: XP, 7, 2003, Vista, Server 2008 и 2008 R2. Он был разработан французским специалистом по безопасности Бенджамином Делпи совместно с сотрудником Microsoft Мэтью Сюиша и компанией Comae Technologies.




Как и WannaKey, wanakiwi эксплуатирует баг, найденный в Microsoft Crypto API, который позволяет извлечь из оперативной памяти незашифрованный оригинал ключа, необходимого для восстановления пострадавших файлов. Для использования этого инструмента необходимо, чтобы заражённый компьютер не выключался и не перезагружался с того момента, как на него попал вирус. Однако даже в этом случае успех не гарантирован, ведь ключ мог быть затёрт в оперативной памяти каким-нибудь процессом.



Несомненно, wanakiwi — гораздо более полезная программа, чем WannaKey. Как показало исследование, проведённое «Лабораторией Касперского», примерно на 98% компьютеров, заражённых WannaCry, установлена одна из редакций Windows 7. Эта самая распространённая операционная система — она используется приблизительно на половине компьютеров во всём мире. По всей видимости, компания Microsoft не успела выпустить для неё патч безопасности, который закрывает уязвимость, эксплуатируемую WannaCry и другими подобными вирусами. На Windows 10 эта уязвимость была закрыта ещё до того, как началось массовое распространение WannaCry, поэтому число заражённых компьютеров с этой операционной системой минимальное.