Как восстановить зашифрованные WannaCry файлы
Найден способ перехватить секретный ключ, с помощью которого можно расшифровать файлы, зашифрованные вирусом WannaCry. Способ годится только для беспечных обладателей Windows XP.
Спец по компьютерной безопасности Адриен Гвинет обнаружил, что Cryto API операционной системы Windows содержит изъян — функции CryptDestroyKey и CryptReleaseContext не очищают должным образом оперативную память после генерации простых чисел, которые используются для генерации ключей по алгоритму RSA. Трудно сказать, преднамеренно ли это сделано программистами Microsoft — чтобы удобнее было следить, — либо руки не из того места растут. Впрочем, одно не исключает другого. Но факт остается фактом — сторонний процесс может извлечь эти данные и восстановить секретный ключ. Единственное условие — после заражения компьютер не должен был перезагружаться.
Как расшифровать файлы WannaCry
- Шаг первый. Идем сюда: https://github.com/aguinet/wannakey
- Шаг второй. Скачиваем файл: search_primes.exe
- Шаг третий. Запускаем: search_primes.exe PID path\to\00000000.pky, где PID — номер вирусного процесса (wcry.exe), 00000000.pky — открытый ключ. В итоге получаем файл priv.key с секретным ключом, с помощью которого можно расшифровать свои файлы.
- Шаг четвертый. Используем https://github.com/odzhan/wanafork/ или https://github.com/gentilkiwi/wanadecrypt + priv.key для снятия шифра.
- Шаг пятый. PROFIT!!!
Комментарии
Чингачгук
19 мая, 2017 - 23:15
Что это за расширение такое — .exe?
pomodor
19 мая, 2017 - 23:49
Очень редкое
Texnoline
20 мая, 2017 - 07:30
уникальное, встречается крайне редко...:)
Platon
21 мая, 2017 - 10:20
в правильных операционных системах это расширение можно встретить только в эмуляторах типа Wine.
Platon
21 мая, 2017 - 10:22
Если напоить пингвина винишком, то можно запустить плаксу, комментарии доставляют
leserf50
21 мая, 2017 - 18:19
Если накормить пингвина винишком, то можно перед этим спрятать префикс .wine (папка) в тайную директорию.
Будет плакса — удалил префикс, переместил в /home/ваш юзер/.
BeLKa
22 мая, 2017 - 11:53
Зачем так делать?
И, кстати, объясните почему пользователи Linux с таким упорством пытаются запустить всякую бяку у себя в системе?
Удалила Wine и сплю спокойно.
leserf50
22 мая, 2017 - 17:15
Мы, Линуксоиды, не пытаемся запустить бяку. Это некоторые маргиналы и пионерия пытаются. Лично я никогда не запускал бяки (вирусы, трояны) в wine. Только нужные мне программы, в которых и нет этих бяк. И на винде вирусов не видывал (кроме вантуз10). Устанавливал антивирусы, но им нечего было защищать. Но я как уже полгода удалил её по причине отжирания ресурсов (комп сильно греется и шумит), неприятных, громоздких обновлений и сплю спокойно. В wine тоже есть совместимость с вантузом 10, но оттуда уже вырезана вся троянская составляющая.
leserf50
22 мая, 2017 - 17:25
Ну например: все проги и игры перестали запускаться. Неправильно заполнил(напортачил) с вином. Спокойно вырезаешь из папки свой wine и вставляешь в свою директорию
Wine заполняли с нуля? Теперь понятно, почему вы его удалили. Можно было скачать готовый префикс с форума ubuntu.ru
Комментировать