Ранее мы писали, что специалист французской компании Quarkslab Адриен Гинье создал инструмент
WannaKey, который позволяет найти ключ для расшифровки файлов, зашифрованных вирусом WannaCry. К сожалению, его программа восстанавливает файлы только на компьютерах с Windows XP.
На базе WannaKey был создан ещё один дешифровщик, который получил название
wanakiwi и помимо Windows XP совместим с более свежими версиями Windows: XP, 7, 2003, Vista, Server 2008 и 2008 R2. Он был разработан французским специалистом по безопасности Бенджамином Делпи совместно с сотрудником Microsoft Мэтью Сюиша и компанией Comae Technologies.
Как и WannaKey, wanakiwi эксплуатирует баг, найденный в Microsoft Crypto API, который позволяет извлечь из оперативной памяти незашифрованный оригинал ключа, необходимого для восстановления пострадавших файлов. Для использования этого инструмента необходимо, чтобы заражённый компьютер не выключался и не перезагружался с того момента, как на него попал вирус. Однако даже в этом случае успех не гарантирован, ведь ключ мог быть затёрт в оперативной памяти каким-нибудь процессом.
Несомненно, wanakiwi — гораздо более полезная программа, чем WannaKey. Как показало исследование, проведённое «Лабораторией Касперского», примерно на 98% компьютеров, заражённых WannaCry, установлена одна из редакций Windows 7. Эта самая распространённая операционная система — она используется приблизительно на половине компьютеров во всём мире. По всей видимости, компания Microsoft не успела выпустить для неё патч безопасности, который закрывает уязвимость, эксплуатируемую WannaCry и другими подобными вирусами. На Windows 10 эта уязвимость была закрыта ещё до того, как началось массовое распространение WannaCry, поэтому число заражённых компьютеров с этой операционной системой минимальное.