Công cụ giải mã WannaCry Ransomware giúp nạn nhân khôi phục lại các file bị mã hóa mà không cần trả tiền chuộc

By | 12:53 am | 20/05/2017

wannacry-ransomware-decryption-tool-unlock-files-free

Nếu máy tính nạn nhân bị lây nhiễm WannaCry, họ sẽ được yêu cầu phải trả 300$ tiền chuộc để nhận được khóa giải mã các thư mục của mình.

7 ngày sau chiến dịch WannaCry, bài viết này giới thiệu 2 công cụ giúp nạn nhân của WannaCry lấy lại được các file bị mã hóa mà không phải mất tiền chuộc.

1. WannaKey

Adrien Guinet, một nhà nghiên cứu an ninh người Pháp của Quarkslab, đã phát hiện ra cách để lấy được khoá mã hóa bí mật để giúp nạn nhân giải mã miễn phí WannaCry ransomware, nó hoạt động trên các hệ điều hành Windows XP, Windows 7, Windows Vista, Windows Server 2003 và 2008.

Lược đồ mã hóa của WannaCry hoạt động bằng cách sinh ra một cặp khóa trên máy tính của nạn nhân dựa vào số nguyên tố, để mã hóa và giải mã các tập tin của hệ thống tương ứng.

1 mnPlkfcdQy8V2GkKFNXBBg

(1 – Sinh khóa trong bộ nhớ                   2 – Ngay sau khi sinh khóa là xóa khóa)

Để ngăn nạn nhân truy cập vào khoá bí mật và tự giải mã các tập tin bị khóa, WannaCry xóa chúng khỏi hệ thống, không để nạn nhân lấy lại khóa giải mã trừ khi trả tiền chuộc cho kẻ tấn công.

Theo Guinet, tuy nhiên WannaCry “không xoá những số nguyên tố khỏi bộ nhớ trước khi giải phóng bộ nhớ liên quan”. Dựa trên phát hiện này, Guinet đã phát hành một công cụ giải mã WannaCry ransomware có tên WannaKey. Về cơ bản nhằm lấy ra hai số nguyên tố, được sử dụng để tạo ra các khoá mã hóa từ bộ nhớ, và hiện công cụ chỉ hoạt động trên Windows XP.

Phương pháp này sẽ chỉ hoạt động nếu:

  • Máy tính bị ảnh hưởng chưa được khởi động lại sau khi bị nhiễm.
  • Bộ nhớ liên quan chưa được phân bổ và xóa bởi một số tiến trình khác.

Ngoài ra, nhược điểm của WannaKey là công cụ này là sử dụng những số nguyên tố để tạo khóa giải mã một cách thủ công để giải mã tệp tin bị nhiễm WannaCry.

2. WanaKiwi

Nhà nghiên cứu bảo mật Benjamin Delpy đã phát triển một công cụ dễ sử dụng được gọi là “WanaKiwi” dựa trên phát hiện của Guinet, giúp đơn giản hoá toàn bộ quá trình giải mã tệp WannaCry.

Người dùng tải công cụ WanaKiwi từ Github và chạy nó trên máy tính Windows bị ảnh hưởng.

WanaKiwi làm việc trên Windows XP, Windows 7, Windows Vista, Windows Server 2003 và 2008.

Wannacry GIF - Find & Share on GIPHY

WanaKiwi cho hệ điều hành Windows XP

Wannacry GIF - Find & Share on GIPHY

WanaKiwi cho hệ điều hành Windows 7

blog.comae.io