Ранее ][ уже сообщал о том, что специалист французской компании Quarkslab Адриен Гинье (Adrien Guinet) сумел разработать инструмент WannaKey, с помощью которого можно восстановить зашифрованные файлы, пострадавшие в результате атаки вымогателя WannaCry (он же Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt). К сожалению, решение Гинье работает только с Windows XP и только если соблюсти ряд условий, но другие исследователи уже подхватили идею и доработали WannaKey.

На базе WannaKey был создан инструмент wanakiwi, который работает не только с Windows XP, но и x86-версиями Windows 7, 2003, Vista, Server 2008 и 2008 R2. Разработал это решение французский исследователь Бенджамин Делпи (Benjamin Delpy), при поддержке сооснователя компании Comae Technologies и эксперта Microsoft Мэтью Сюиша (Matthieu Suiche). Также его эффективность уже подтвердили специалисты Европола.

Технические детали о wanakiwi уже доступны в блоге Сюиша, там же можно найти скришнот, демонстрирующий дешифровщик в работе:

Равно как и WannaKey, новый инструмент эксплуатирует небольшой недочет, обнаруженный исследователями в Microsoft Crypto API, что позволяет извлечь из памяти зараженной машины приватный ключ, необходимый для восстановления пострадавших файлов.

К сожалению, wanakiwi по-прежнему сработает лишь в том случае, если зараженный компьютер не выключали и не перезагружали после атаки WannaCry. Также ключ в памяти может быть случайно «затерт» любым другим процессом, поэтому, по словам специалистов, пользователям «потребуется немного удачи».



8 комментариев

  1. Steel

    20.05.2017 at 01:09

    «Небольшой недочет» — это 5 =)

  2. mobizone

    20.05.2017 at 05:14

    я когда увидел что нубский шифровальщик мои текстовые файлы с рабстола удаляет сразу первое действие это ребут.
    ничего не пострадало, потомучто нубский шифровальщик. кто начинает шифровать с рабочего стола этоже палево.

    • Int

      21.05.2017 at 01:00

      Ты увидел, что он удаляет файлы, но он их не удалил, потому что ты успел его перезагрузить? То есть, файл стал постепенно исчезать, как в кино, но не успел?

      • mobizone

        21.05.2017 at 04:34

        нет не так, он стер тхт файлы, напихав свои с таким же названием.
        но это же диск С он у меня в акронисе лежит, так что мне было пофиг. я ребутнул и достал из бекапа эти файлы.

  3. Mr-r00t

    20.05.2017 at 17:31

    Последние лет 10 видел шифровальщики только на скринах.

    • mobizone

      20.05.2017 at 18:08

      я тоже, но ванна она сама влезает в комп, и от твоих кривых рук не зависит. вот влезла много кому. никто почту не открывал, ехе с порносайтов не включал. да и это лишь дыра крутая была, а сам шифровальщик мусор. только совсем уж алешке может зашифровать всё. как можно не заметить бегающие ярлыки и тхт по раб столу я не знаю..

      • Shad0w

        23.05.2017 at 12:34

        1) кто в 2017м смотрит на рабочий стол? Все давно работают в фуллскрин приложениях. А дома браузер давно заменил рабочий стол. Не знаю даже какая картинка там стоит.
        2) что делать если я не разводу срач из файлов на столе?
        3) >>от твоих кривых рук не зависит

        остутсвие ежемесячных обновлений безопасности это именно из-за твоих кривых рук.

  4. Il

    25.05.2017 at 10:21

    Интересно, надо попробовать.

Оставить мнение