探秘Wanakiwi:解锁WannaCry勒索软件的希望之光
项目简介
在数字化的世界中,安全问题如同阴影般时刻笼罩着我们。WannaCry勒索软件曾让全球众多计算机系统陷入困境,但有志者事竟成——这就是【wanakiwi】项目,一个旨在帮助受害者从WannaCry恶意软件中恢复加密文件的强大工具。
基于gentilkiwi的wanadecrypt,wanakiwi能够:
- 在内存中找到私钥并保存为
00000000.dky
。 - 解密所有被加密的文件。
利用Adrien Guinet的wannakey中提取素数的方法,即便是在Windows 7系统上,wanakiwi也能实现解密。
技术剖析
wanakiwi的工作原理是扫描WannaCry进程的内存,寻找未被清理的素数。这些素数在CryptReleaseContext()期间产生,是解密的关键。虽然这种方法最初被认为只适用于Windows XP,但通过实践,我们发现它同样适用於Windows 7系统。
使用wanakiwi.exe
时,你可以通过 /pid:PID
或 /process:program.exe
参数选择要分析的进程。默认情况下,程序会自动检测以下进程:
- wnry.exe
- wcry.exe
- data_1.exe
- ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
- tasksche.exe
应用场景
- 对于那些不幸遭受WannaCry攻击,但又没有备份的用户来说,wanakiwi提供了宝贵的文件恢复机会。
- 如果你的系统处于休眠状态,wanakiwi可以利用内存中保存的状态尝试解密,因为休眠不会清除内存信息。
项目特点
- 非破坏性: 原始的加密文件(.WNCRY)保持不变,解密后的文件以单独文件的形式生成。
- 兼容性强: 支持包括Windows XP和Windows 7在内的多个操作系统版本。
- 紧急响应: 使用wanakiwi需要尽快行动,一旦系统重启或关闭,关键内存数据将丢失。
- 安全提示: 恢复文件后,请立即将它们备份到外部空闲硬盘,并保存解密密钥文件,然后重新安装新的操作系统。
最后,我们要感谢msuiche、halsten、malwareunicorn、adriengnt以及OpenSSL团队的贡献和支持。如果你或者你身边的人受到WannaCry的困扰,不妨尝试使用wanakiwi,也许这正是你需要的救援之手。