5月19日,雷鋒網看到這一樣一則消息:Windows XP系統中了“想哭”勒索病毒后有救了 !
原來,法國研究員 Adrien Guinet 在本周四表示,如果 Windows XP 系統遭到 “想哭”勒索病毒的感染,用戶可以自行解密數據。他在 GitHub 上發布了一個應用程序,該軟件幫他發現了實驗室中被感染 Windows XP 計算機所需的數據解密密鑰,不過該軟件尚未在Windows XP系統中得到大范圍測試。
Guinet 稱,該軟件只在 Windows XP 下進行過測試,并且只對 Windows XP 有效。而且還有一個限制條件:Windows XP 計算機在被感染之后不能進行過重啟,而且可能需要“一定運氣”才能成功。
具體是如何“解密”的?
據公開資料顯示,“想哭”勒索蠕蟲使用了 Windows 中集成的微軟密碼 API 處理多項功能,包括生成文件的加密解密密鑰。在創建并獲得密鑰后,在大部分版本的 Windows 中,API會清除該密鑰。但是,在XP 中卻不會!在XP 系統中,API 目前無法清除密鑰。所以,在電腦關機重啟之前,用于生成“想哭”密鑰的主序列可能會一直駐留在內存中。這意味著,密鑰可以被提取出來。
該應用程序下載地址為:https://github.com/aguinet/wannakey/blob/master/bin/search_primes.exe。
5月19日下午四點左右,雷鋒網從騰訊方面得到消息,騰訊反病毒實驗室在 Adrien Guinet 提供的代碼的基礎上,結合樣本分析結果,修改了其中一些關鍵問題,并將工具發布,同時表示正在對影響更大的WIN7系統解密進行研究。騰訊方面暫時沒有發布該 XP 解密工具的具體成功率。