WannaKey - narzędzie do odzyskania plików po ataku WannCry

Na przestrzeni dwóch ostatnich tygodni w cyfrowym świecie pojawiła się pandemia, która rzuciła na kolana morze ofiar. Niezależnie na jaki kraj spojrzymy wiele prywatnych firm, szpitali i instytucji publicznych musiało przerwać pracę, a oberwali również zwykli użytkownicy komputerów. Mowa oczywiście o złośliwym programie WannaCry. Bardzo skuteczna infekcja typu ransomware zaraziła ponad 200 tysięcy ofiar, szyfrując ich dyski oraz następnie żądając okupu w wysokości 300 dolarów od jednostki. Jeśli ktoś nie miał zapasowej kopii danych to mógł tylko rwać włosy z głowy. Na horyzoncie pojawiają się jednak pierwsze narzędzia, które mogą okazać się zbawienne. O ile tylko spełniamy szereg wyśrubowanych wymagań.

Swoją szansę mają głównie użytkownicy systemu Windows XP, ale również Windows 7 x86, 2003, Vista oraz Windows Server 2008.

Do krótkiej listy przydatnych programów dla osób zainfekowanych ransomware WannaCry można zaliczyć niewielką aplikacje WannaKey. Narzędzie, które pojawiło się w sieci w ostatnich dniach to dzieło francuskiego specjalisty do spraw bezpieczeństwa pracującego w firmie Quarkslab, Adriena Guineta. Program dostępny jest do pobrania z GitHuba autora i waży niecałe 300 kilobajtów. Całość oparta jest na starych lukach w funkcjach systemu Windows, dokładniej "CryptReleaseContext" oraz "CryptDestroyKey". Dzięki temu, że nie do końca czyszczą pamięć w komputerze możliwe jest wydobycie liczb pierwszych, które użyte zostały przez WannaCry do wygenerowania unikalnego, 2048-bitowego klucza szyfrującego. Niestety - pomoc jest mocno ograniczona i ściśle powiązana z wyśrubowanymi wymaganiami oraz odrobiną szczęścia.

Adres do pobrania pomocnej aplikacji WannaKey

Złośliwy ransomware WannaCry zbiera żniwo na całym świecie

Szansę mają głównie użytkownicy systemu Windows XP, ale również Windows 7 x86, 2003, Vista oraz Windows Server 2008. Niestety - komputer od czasu zainfekowania nie mógł być restartowany, ani żadna inna aplikacja nie mogła nadpisać pamięci zajmowanej wcześniej przez WannaCry. Jeśli spełniacie powyższe wymagania to trzeba pobrać plik *.exe dostępny TUTAJ, namierzyć PID (identyfikator procesu) dla "wcry.exe" przy pomocy Menadżera Zadań i znaleźć dokładną lokalizację pliku "00000000.pky". Następnie odpalamy konsolę systemową (CMD) z następującą komendą: "search_primes.exe PID tutaj_ścieżka_do_pliku\00000000.pky". Jeśli całość wykonaliście poprawnie to wygenerowany zostanie klucz o nazwie "priv.key". Następnie przy jego pomocy wystarczy tylko użyć kolejnego narzędzia w postaci WanaFork lub WanaDecrypt i jesteśmy w domu. W drodze jest kolejna wersja WannaKey, która w znacznym stopniu ułatwi proces dzięki przestępnemu GUI. Co począć jeśli zainfekowano wasz komputer z Windowsem 10 bez łatki bezpieczeństwa? Cóż - tutaj nie ma jeszcze ratunku. Warto jednak zacząć od robienia kopii zapasowych i częstych aktualizacji systemu.