5月19日,雷鋒網(wǎng)看到這一樣一則消息:Windows XP系統(tǒng)中了“想哭”勒索病毒后有救了 !
原來(lái),法國(guó)研究員 Adrien Guinet 在本周四表示,如果 Windows XP 系統(tǒng)遭到 “想哭”勒索病毒的感染,用戶(hù)可以自行解密數(shù)據(jù)。他在 GitHub 上發(fā)布了一個(gè)應(yīng)用程序,該軟件幫他發(fā)現(xiàn)了實(shí)驗(yàn)室中被感染 Windows XP 計(jì)算機(jī)所需的數(shù)據(jù)解密密鑰,不過(guò)該軟件尚未在Windows XP系統(tǒng)中得到大范圍測(cè)試。
Guinet 稱(chēng),該軟件只在 Windows XP 下進(jìn)行過(guò)測(cè)試,并且只對(duì) Windows XP 有效。而且還有一個(gè)限制條件:Windows XP 計(jì)算機(jī)在被感染之后不能進(jìn)行過(guò)重啟,而且可能需要“一定運(yùn)氣”才能成功。
具體是如何“解密”的?
據(jù)公開(kāi)資料顯示,“想哭”勒索蠕蟲(chóng)使用了 Windows 中集成的微軟密碼 API 處理多項(xiàng)功能,包括生成文件的加密解密密鑰。在創(chuàng)建并獲得密鑰后,在大部分版本的 Windows 中,API會(huì)清除該密鑰。但是,在XP 中卻不會(huì)!在XP 系統(tǒng)中,API 目前無(wú)法清除密鑰。所以,在電腦關(guān)機(jī)重啟之前,用于生成“想哭”密鑰的主序列可能會(huì)一直駐留在內(nèi)存中。這意味著,密鑰可以被提取出來(lái)。
該應(yīng)用程序下載地址為:https://github.com/aguinet/wannakey/blob/master/bin/search_primes.exe。
5月19日下午四點(diǎn)左右,雷鋒網(wǎng)從騰訊方面得到消息,騰訊反病毒實(shí)驗(yàn)室在 Adrien Guinet 提供的代碼的基礎(chǔ)上,結(jié)合樣本分析結(jié)果,修改了其中一些關(guān)鍵問(wèn)題,并將工具發(fā)布,同時(shí)表示正在對(duì)影響更大的WIN7系統(tǒng)解密進(jìn)行研究。騰訊方面暫時(shí)沒(méi)有發(fā)布該 XP 解密工具的具體成功率。