Ранее "Хакер" уже сообщал о том, что специалист французской компании Quarkslab Адриен Гинье (Adrien Guinet) сумел разработать инструмент WannaKey, с помощью которого можно восстановить зашифрованные файлы, пострадавшие в результате атаки вымогателя WannaCry(он же Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt). К сожалению, решение Гинье работает только с Windows XP и только если соблюсти ряд условий, но другие исследователи уже подхватили идею и доработали WannaKey.

http://s009.radikal.ru/i309/1705/54/94ce39b17dd5.png

На базе WannaKey был создан инструмент wanakiwi, который работает не только с Windows XP, но и 86-разрядными версиями Windows 7, 2003, Vista, Server 2008 и 2008 R2. Разработал это решение французский исследователь Бенджамин Делпи (Benjamin Delpy), при поддержке сооснователя компании Comae Technologies и эксперта Microsoft Мэтью Сюиша (Matthieu Suiche). Также его эффективность уже подтвердили специалисты Европола.

http://s014.radikal.ru/i327/1705/bb/6b93aa9ac591.png

Технические детали о wanakiwi уже доступны в блоге Сюиша, там же можно найти скришнот, демонстрирующий дешифровщик в работе:

http://s16.radikal.ru/i190/1705/a3/efd21079b866.png

Равно как и WannaKey, новый инструмент эксплуатирует небольшой недочет, обнаруженный исследователями в Microsoft Crypto API, что позволяет извлечь из памяти зараженной машины приватный ключ, необходимый для восстановления пострадавших файлов.

К сожалению, wanakiwi по-прежнему сработает лишь в том случае, если зараженный компьютер не выключали и не перезагружали после атаки WannaCry. Также ключ в памяти может быть случайно «затерт» любым другим процессом, поэтому, по словам специалистов, пользователям «потребуется немного удачи».

20.05.2017 г.

Мария Нефёдова.

https://xakep.ru/2017/05/19/wanakiwi/