雷锋网消息,5月19日,雷锋网看到这一样一则消息:Windows XP系统中了“想哭”勒索病毒后有救了 !
原来,法国研究员 Adrien Guinet 在本周四表示,如果 Windows XP 系统遭到 “想哭”勒索病毒的感染,用户可以自行解密数据。他在 GitHub 上发布了一个应用程序,该软件帮他发现了实验室中被感染 Windows XP 计算机所需的数据解密密钥,不过该软件尚未在Windows XP系统中得到大范围测试。
Guinet 称,该软件只在 Windows XP 下进行过测试,并且只对 Windows XP 有效。而且还有一个限制条件:Windows XP 计算机在被感染之后不能进行过重启,而且可能需要“一定运气”才能成功。
具体是如何“解密”的?
据公开资料显示,“想哭”勒索蠕虫使用了 Windows 中集成的微软密码 API 处理多项功能,包括生成文件的加密解密密钥。在创建并获得密钥后,在大部分版本的 Windows 中,API会清除该密钥。但是,在XP 中却不会!在XP 系统中,API 目前无法清除密钥。所以,在电脑关机重启之前,用于生成“想哭”密钥的主序列可能会一直驻留在内存中。这意味着,密钥可以被提取出来。
该应用程序下载地址为:https://github.com/aguinet/wannakey/blob/master/bin/search_primes.exe。
5月19日下午四点左右,雷锋网从腾讯方面得到消息,腾讯反病毒实验室在 Adrien Guinet 提供的代码的基础上,结合样本分析结果,修改了其中一些关键问题,并将工具发布,同时表示正在对影响更大的WIN7系统解密进行研究。腾讯方面暂时没有发布该 XP 解密工具的具体成功率。
致谢:雷锋网读者李嵩为本文提供了部分信息。