Как восстановить зашифрованные WannaCry файлы

Найден способ перехватить секретный ключ, с помощью которого можно расшифровать файлы, зашифрованные вирусом WannaCry. Способ годится только для беспечных обладателей Windows XP.

Спец по компьютерной безопасности Адриен Гвинет обнаружил, что Cryto API операционной системы Windows содержит изъян — функции CryptDestroyKey и CryptReleaseContext не очищают должным образом оперативную память после генерации простых чисел, которые используются для генерации ключей по алгоритму RSA. Трудно сказать, преднамеренно ли это сделано программистами Microsoft — чтобы удобнее было следить, — либо руки не из того места растут. Впрочем, одно не исключает другого. Но факт остается фактом — сторонний процесс может извлечь эти данные и восстановить секретный ключ. Единственное условие — после заражения компьютер не должен был перезагружаться.

Как расшифровать файлы WannaCry

  • Шаг первый. Идем сюда: https://github.com/aguinet/wannakey
  • Шаг второй. Скачиваем файл: search_primes.exe
  • Шаг третий. Запускаем: search_primes.exe PID path\to\00000000.pky, где PID — номер вирусного процесса (wcry.exe), 00000000.pky — открытый ключ. В итоге получаем файл priv.key с секретным ключом, с помощью которого можно расшифровать свои файлы.
  • Шаг четвертый. Используем https://github.com/odzhan/wanafork/ или https://github.com/gentilkiwi/wanadecrypt + priv.key для снятия шифра.
  • Шаг пятый. PROFIT!!!
field_vote: 
Ваша оценка: Нет Средняя: 4.5 (4 оценки)
Главная тема: 
Дистрибутивы: 

Комментарии

Что это за расширение такое — .exe?

Оценка: 
Средняя: 3 (2 оценки)

Очень редкое

Оценка: 
Средняя: 5 (6 оценки)

уникальное, встречается крайне редко...:)

Оценка: 
Средняя: 5 (1 оценка)

в правильных операционных системах это расширение можно встретить только в эмуляторах типа Wine.

Patric: О, кста, посмотри, какая прелесть

Patric: "program.exe"

D-termys: ок, ща запущу

D-termys: голые негры поперёк экрана и просьба отправить смс.

D-termys: и нахер ты так делаешь?

Patric: понимаешь, я тут скачал одну очень полезную програмулину, запустил, а там вот так нехорошо получилось (

Patric: ты ведь сейчас мне скажешь, как ты это убрал )))

D-termys: конечно, дружище, говно вопрос

D-termys: вайн закрыл

Оценка: 
Средняя: 5 (3 оценки)

Если напоить пингвина винишком, то можно запустить плаксу, комментарии доставляют

Оценка: 
Средняя: 3.5 (2 оценки)

Если накормить пингвина винишком, то можно перед этим спрятать префикс .wine (папка) в тайную директорию.
Будет плакса — удалил префикс, переместил в /home/ваш юзер/.

Оценка: 
Пока без оценки

Зачем так делать?
И, кстати, объясните почему пользователи Linux с таким упорством пытаются запустить всякую бяку у себя в системе?
Удалила Wine и сплю спокойно.

Оценка: 
Средняя: 5 (3 оценки)

Мы, Линуксоиды, не пытаемся запустить бяку. Это некоторые маргиналы и пионерия пытаются. Лично я никогда не запускал бяки (вирусы, трояны) в wine. Только нужные мне программы, в которых и нет этих бяк. И на винде вирусов не видывал (кроме вантуз10). Устанавливал антивирусы, но им нечего было защищать. Но я как уже полгода удалил её по причине отжирания ресурсов (комп сильно греется и шумит), неприятных, громоздких обновлений и сплю спокойно. В wine тоже есть совместимость с вантузом 10, но оттуда уже вырезана вся троянская составляющая.

Оценка: 
Средняя: 5 (1 оценка)

Ну например: все проги и игры перестали запускаться. Неправильно заполнил(напортачил) с вином. Спокойно вырезаешь из папки свой wine и вставляешь в свою директорию
Wine заполняли с нуля? Теперь понятно, почему вы его удалили. Можно было скачать готовый префикс с форума ubuntu.ru

Оценка: 
Средняя: 5 (1 оценка)

Комментировать

Filtered HTML

  • Use [fn]...[/fn] (or <fn>...</fn>) to insert automatically numbered footnotes.
  • Доступны HTML теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockquote> <strike> <code> <h2> <h3> <h4> <h5> <del> <img>
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.