Как восстановить файлы, зашифрованные вирусом WannaCry

Александр


Сотрудник компании Quarkslab Адриен Гинье нашёл способ расшифровки файлов, зашифрованных вирусом WannaCry, который с 12 мая заразил более 100 тысяч компьютеров по всему миру.

Гинье выяснил, что вирус генерирует два криптографических ключа. Первый используется для шифрации файлов, а второй — для их расшифровки в том случае, если жертва заплатит выкуп. Используя баг в операционной системе, пользователь может восстановить зашифрованные файлы, не платя деньги хакерам, но для этого нужно соблюсти несколько условий.

Заражённый компьютер должен работать на Windows XP и он с момента заражения вирусом не должен был выключаться или перезагружаться. Дело в том, что в Windows XP есть баг, который позволяет извлечь ключ дешифрации из оперативной памяти. Вирус шифрует этот ключ, а его исходная версия удаляется с помощью стандартной функции CryptReleaseContext, которая не работает в Windows XP так, как должна. Удаляется только маркер, указывающий на ключ, а сам ключ продолжает храниться в оперативной памяти до тех пор, пока компьютер не будет выключен или какой-нибудь процесс не перезапишет его другими данными. В последних версиях Windows этот баг был исправлен, поэтому извлечь из памяти ключ для расшифровки файлов не получится.

Восстановить файлы на винчестере, взяв его из нового компьютера и установив на компьютер с Windows XP, не удастся, поскольку для каждого ПК генерируется уникальный ключ и его незашифрованный исходник не хранится в энергонезависимой памяти.

Гинье выложил на GitHub исходный код программы WannaKey с помощью которой можно восстановить зашифрованные файлы. Он протестировал этот инструмент на нескольких заражённых компьютерах и успешно восстановил зашифрованные файлы. Разработчик надеется, что эта программа пригодится хоть кому-нибудь, но очевидно, что компьютеров, которые работают на Windows XP, неделю назад заразились вирусом WannaCry и с тех пор никогда не выключались, очень мало.
11

Будь в курсе последних новостей из мира гаджетов и технологий

Мы в соцсетях

Комментарии

+190
Портал о высоких технологиях с орущими многообещающими заголовками. А по факту: практически нельзя восстановить на операционной системе, которая уже не поддерживается. Все глубже на дно.
19 мая 2017 в 15:28
#
+226
Смысл этого поста? Если он даже 90% пользователей не поможет? Почти, а может и все пользователи сидят на вин 7 и выше.
19 мая 2017 в 15:37
#
Aspard
+563
Какие там 90%, почти все 100)) Реально найти зараженный комп на ХР и не перезагруженный миссия невыполнима.
20 мая 2017 в 01:24
#
+58
19 мая 2017 в 15:37
#
Cowboy
+285
этот вирус был направлен на ХР, и в основном именно эти системы и пострадали. Есть данные, что этот вирус виндовс 10 заразил?
19 мая 2017 в 15:58
#
+190
Удаленно только до десятки можно заразить. Если пользователь сам запустит вирус, то-то десятка не спасёт.
19 мая 2017 в 16:53
#
Aspard
+563
Прочитал. Ответ заголовка — никак. Потому что шанса не перезапущенного компа с вирусом на ХР никакого. Ну а чтобы еще и вытащить дешифратор, тут вообще считай только специалист сделает. Пост полезен разве что структурам, чьи компы заражены, да и то уже опоздали)
20 мая 2017 в 01:23
#