法國研究人員找到破解WannaCry方法：不用贖金

5月20日消息，據路透社報道，法國研究人員周五表示，他們已經為技術人員找到能夠挽救被WannaCry勒索病毒加密的Windows檔案的最後機會。WannaCry釋出者威已脅開始鎖定一周前被該病毒感染的電腦，為此，網絡安全研究人員正争分奪秒，以在最後期限到來前找到破解方式。

WannaCry上周五開始肆虐全球，在150個國家感染了超過30萬台計算機。其釋出者威脅稱，對于其計算機被感染後一周内仍沒有支付300美元至600美元的受害者，将讓他們無法通路其被鎖定的檔案。

一個由分散在全球的網絡安全研究人員組成的一個組織松散的團隊表示，為破解被WannaCry鎖定檔案的加密密鑰，他們通過合作已經找到一個解決方案。這一消息被幾位獨立的安全研究人員所證明。

研究人員警告稱，他們的解決方案隻能在某些條件下有效，即計算機自被感染以來沒有被重新開機，同時受害者要在檔案被永久性鎖定之前使用該修複工具。

歐洲刑警組織在Twitter上表示，歐洲網絡犯罪中心對該團隊開發的新工具進行了測試，發現“在某些情況下可以恢複資料”。

該團隊的成員包括法國網絡安全專家阿德裡安·古奈特(Adrien Guinet)、國際知名黑客馬特?蘇伊切（Matthieu Suiche），以及法國業餘安全研究員本傑明·德爾皮（Benjamin Delpy），後者在法蘭西銀行工作，利用夜間幫忙解決網絡安全問題。

德爾皮稱：“我們知道我們必須争分奪秒，因為随着時間的推移，恢複（被感染檔案）的機會就越來越少。”在度過本周第二個不眠之夜後，他得以在巴黎時間周五早上6點釋出一個可行的方法來解密被WannaCry鎖定的檔案。

對這款不需支付贖金而能解密被感染電腦的免費工具，德爾皮将其命名為“Wanakiwi”。

蘇伊切發表了一篇部落格文章，總結了“Wanakiwi”的技術細節，并正加緊與受WannaCry影響的組織的技術人員分享。

他表示，通過快速測試，顯示“Wanakiwi”對Windows 7和更早版本的Windows XP和Windows 2003版本有效。他補充說，他相信這款匆忙開發的修複軟體也适用于Windows 2008和Windows Vista，意味着可涵蓋全部受影響的計算機。

蘇伊切通過Twitter上的“直接消息(direct message)”告訴路透社：“（該方法）應該适用于從Windows XP到Windows 7的任何作業系統，”。

他補充說，到目前為止，來自歐洲幾個國家和印度的銀行、能源和一些政府情報機構已經就修複問題聯系了他。

古奈特是巴黎網絡安全公司Quarkslab的安全研究員，他于周三和周四晚些時候釋出了解密被WannaCry鎖定檔案的理論性技術。德爾皮也在巴黎，他發現可以将該技術變為一個能挽救被WannaCry鎖定的檔案的實用工具。

目前身在迪拜的蘇伊切是世界頂級的獨立安全研究人員之一，他提供了有關建議和測試，以確定“Wanakiwi”在各種版本的Windows上都有效。

他的部落格文章提供了德爾皮的“Wanakiwi”解密工具的連結，該工具基于古奈特最初提出的概念。古奈特的想法包括使用素數提取WannaCry加密代碼的密鑰，而不是試圖破壞該惡意軟體完整加密密鑰背後無限可能的一系列數字。

蘇伊切稱：“這不是一個完美的解決方案。但是到目前為止，這是幫助企業恢複檔案的唯一可行解決方案，前提是檔案已被感染但沒有備份。這可以讓使用者在不支付贖金的情況下恢複資料。”

根據網絡公司Kryptos Logic提供的資料，截至本周三，受WannaCry感染的全球網際網路位址中有一半位于中國和俄羅斯，分别占30％和20％。

Kryptos Logic稱，相比之下，在受感染的全球網際網路位址中，美國所占比例僅為7%，英國、法國和德國則均為2%。

截止周五，在WannaCry病毒爆發的七天内，WannaCry的訛詐帳戶似乎隻收到309筆付款，價值約9.4萬美元。

這不到估計受害者的千分之一。

這可能反映了安全專家說的各種因素，包括懷疑攻擊者将履行其承諾的疑慮，或一些組織有備份存儲計劃，允許他們在不支付贖金的情況下有恢複資料的可能性。

本文轉自d1net（轉載）