Windows XP／7／2003 中左WannaCry有得救，有專家利用XP漏洞解救WannaCry！

四台國際CEO · 發表於 2017-5-20 21:27:48

WannaCry利用AES-128和RSA算法加密，這讓超級電腦解密都需時多年。有專家就利用Windows XP多年前的一個漏洞成功解密。這個舊版本Windows XP的漏洞，就是系統的隨機數生成器並不是「真隨機」。在生成隨機數後，系統不會將其立刻從RAM裡清除！故有一從事安全公司Quarkslab的研究人員Adrien Guinet，就在其Github上公佈了可以用於恢復WannaCry加密文件的工具WannaKey。

而要使用這個工具，也要滿足兩個條件：
1, Windows版本是XP SP2的早期版本或SP2以前的版本，因為之後的版本修復了隨機數生成器漏洞。
2, 你的電腦在中毒之後沒有重新啟動過，否則存留在內存裡的隨機數會在重啟時被刪除。

地址: 按我

如果你滿足了上述兩個條件，那可以在GitHub上下載到WannaKey來獲取密鑰，並於同一個作者那裡下載到用於解密文件的工具WanaFork。換句話說，小編看來要重裝回Windows SP1先得，咁中左勒索病毒，隨時都有得免費解密。

WannaCry 在加密過程中使用 Windows Crypto API 產生金鑰並進行加密，但此 API 中的 CryptReleaseContext 及 CryptDestroyKey 函數並未將產生金鑰時產生的質數從記憶體中刪除，因此給了解密程式可以取得解密的機會。

目前已經有專家 Benjamin Delpy 利用以上原理，製作出「WanaKiwi」的解密工具，只要執行 WanaKiwi 提供的執行檔，就可以將所有被 WannaCry 加密的檔案解密還原。已經確認可在 Windows XP、Windows 7、Windows 2003 完成解密工作，Windows Vista、2008 及 2008 R2 利用此原理同樣可完成 (但尚未確認)。

地址:按我