开源软件Wannakey可恢复被加密数据

法国Quarkslab研究员阿德里安·古奈特（Adrien Guinet）表示，若是Windows XP系统遭到WCry勒索病毒的感染，那么用户能够自行解密数据，而没必要支付300至600美圆的赎金。

古奈特发布了一款软件。他表示，该软件帮他发现了实验室中被感染Windows XP计算机所需的数据解密密钥。该软件还没有在Windows XP系统中获得大范围测试，而即便软件有效，也仍然存在限制。在WCry病毒爆发的过程当中，Windows XP系统并非受影响的重灾区，所以这一恢复技术的价值有限。

他将这款软件命名为Wannakey。他表示：“这款软件只在Windows XP下进行过测试，而且已知只对Windows XP有效。若是但愿使用这款软件，那么计算机在被感染以后不能进行太重启。此外，你还须要必定的运气，软件可能不是对全部状况都有效。”

Comae Technologies创始人、研究员马特·苏奇（Matt Suiche）报告称，古奈特的解密工具没有效果。

WCry勒索病毒也被称做WannaCry，在感染计算机后会对计算机上的全部数据进行加密，而黑客要求受害者支付300至600美圆的赎金，从而得到恢复数据的密钥。该勒索软件使用了Windows中集成的微软密码API（应用程序接口）去处理多项功能，包括生成文件的加密解密密钥。在建立并得到密钥后，在大部分版本的Windows中，API会清除该密钥。

不过，Windows XP存在的限制会致使API没法清除密钥。所以，在计算机关机重启以前，用于生成WCry密钥的主序列可能会一直驻留在内存中。WannaKey能扫描Windows XP系统内存，提取其中的相关信息。

古奈特表示：“若是你足够幸运（即相关的内存块还没有被从新分配或清除），这些主序列可能仍驻留在内存里。”

他同时在Twitter上表示：“我完整地完成了解密过程。我能够确认，在这台电脑上，密钥能够从XP中恢复。”他在Twitter消息中提供了电脑屏幕截图。

原文来自：https://www.oschina.net/news/84991/wannacry-decryption-tool

本文地址：https://www.linuxprobe.com/open-sources-wannakey.html编辑员：郭建鹏，审核员：逄增宝