WannaCry勒索软件解密工具发布；无需支付赎金即可解锁文件

来自Quarkslab的法国安全研究员阿德里安·吉内特（Adrien Guinet）发现了一种免费检索WannaCry勒索软件使用的秘密加密密钥的方法，该软件可在Windows XP、Windows 7、Windows Vista、Windows Server 2003和2008操作系统上运行。

WannaCry勒索软件解密密钥

WannaCry的加密方案的工作原理是在受害者的计算机上生成一对密钥，分别依赖于素数、“公钥”和“私钥”对系统文件进行加密和解密。
为了防止受害者自己访问私钥并解密锁定的文件，WannaCry会从系统中删除密钥，使受害者除了向攻击者支付赎金外别无选择地检索解密密钥。

但关键是：WannaCry在释放相关内存之前，不会从内存中删除素数吉内特说。

基于这一发现，Guinet发布了一个WannaCry勒索软件解密工具，名为万纳基，它基本上尝试检索两个素数，在公式中用于从内存生成加密密钥，并且仅适用于Windows XP。

注：下面我还提到了另一个工具，名为几维鸟, that works for Windows XP to Windows 7。

"它通过在wcry中搜索它们来实现。exe进程。这是生成RSA私钥的过程。主要问题是CryptDestroyKey和CryptReleaseContext在释放相关内存之前不会从内存中删除素数。“吉尼特说

因此，这意味着，只有在以下情况下，这种方法才有效：

• 受影响的计算机在被感染后尚未重新启动。
• 相关内存尚未被其他进程分配和擦除。

"为了工作，您的计算机在被感染后不得重新启动。还请注意，你需要一些运气才能让它起作用（见下文），因此它可能不会在所有情况下都起作用！“吉尼特说。

"这并不是勒索软件作者的错误，因为他们正确地使用了Windows Crypto API"。
虽然WannaKey只从受影响计算机的内存中提取素数，但该工具只能用于那些可以使用这些素数手动生成解密密钥的人，以解密受WannaCry感染的PC文件。

WanaKiwi:WannaCry勒索软件解密工具

好消息是，另一位安全研究员本杰明·德尔皮（Benjamin Delpy）开发了一种易于使用的工具，名为几维鸟“基于Guinet的发现，这简化了WannaCry感染的文件解密的整个过程。

受害者需要做的就是从Github下载WanaKiwi工具，并使用命令行（cmd）在受影响的Windows计算机上运行它。

安全公司Comae Technologies的Matt Suiche证实，WanaKiwi在Windows XP、Windows 7、Windows Vista、Windows Server 2003和2008上工作，他还提供了一些演示，展示了如何使用WanaKiwi解密文件。

尽管由于依赖性，该工具无法适用于所有用户，但它仍然为WannaCry的受害者带来了一些希望，他们甚至可以从Windows XP免费获取锁定的文件，Windows XP是微软操作系统的一个老化、基本上不受支持的版本。