嵌入式Linux中文站

勒索病毒中招者有救了!这款开源软件能恢复数据


北京时间 5 月 19 日早间消息,法国 Quarkslab 研究员阿德里安·古奈特(Adrien Guinet)周四表示,如果 Windows XP 系统遭到 WCry 勒索病毒的感染,那么用户可以自行解密数据,而不必支付 300 至 600 美元的赎金。

古奈特发布了一款软件。他表示,该软件帮他发现了实验室中被感染 Windows XP 计算机所需的数据解密密钥。该软件尚未在 Windows XP 系统中得到大范围测试,而即使软件有效,也仍然存在限制。在上周 WCry 病毒爆发的过程中,Windows XP 系统并不是受影响的重灾区,因此这一恢复技术的价值有限。

他将这款软件命名为 Wannakey。(下载地址: 点击这里)他表示:“ 这款软件只在 Windows XP 下进行过测试,并且已知只对 Windows XP 有效。如果希望使用这款软件,那么计算机在被感染之后不能进行过重启。此外,你还需要一定的运气,软件可能不是对所有情况都有效。

Comae Technologies 创始人、研究员马特·苏奇(Matt Suiche)报告称,古奈特的解密工具没有效果。

WCry 勒索病毒也被称作 WannaCry,在感染计算机后会对计算机上的所有数据进行加密,而黑客要求受害者支付 300 至 600 美元的赎金,从而获得恢复数据的密钥。该勒索软件使用了 Windows 中集成的微软密码 API(应用程序接口)去处理多项功能,包括生成文件的加密解密密钥。在创建并获得密钥后,在大部分版本的 Windows 中,API 会清除该密钥。

不过,Windows XP 存在的限制会导致 API 无法清除密钥。因此,在计算机关机重启之前,用于生成 WCry 密钥的主序列可能会一直驻留在内存中。WannaKey 能扫描 Windows XP 系统内存,提取其中的相关信息。

古奈特表示:“如果你足够幸运(即相关的内存块尚未被重新分配或清除),这些主序列可能仍驻留在内存里。”

他同时在 Twitter 上表示:“我完整地完成了解密过程。我可以确认,在这台电脑上,密钥可以从 XP 中恢复。”他在 Twitter 消息中提供了电脑屏幕截图。

本文永久更新链接:http://embeddedlinux.org.cn/emb-linux/industry-news/201705/19-6705.html



分享:

评论