Ainda há esperança: usuários afetados pelo WannaCry poderão recuperar seus arquivos sem pagar o resgate de US$ 300 a 600 em bitcoins. O pesquisador de segurança Adrien Guinet estudou a forma como o ransomware gera a chave de criptografia e criou uma ferramenta para desbloquear os dados. Ela foi aprimorada para funcionar inclusive em versões mais recentes do Windows, como o Windows 7.

O WannaCry se baseia em dois números primos para gerar as chaves de criptografia. Depois que os arquivos são sequestrados, a chave privada é excluída para evitar que o próprio usuário consiga descriptografar seus dados. No entanto, Guinet descobriu que o WannaCry não limpa os números primos da RAM. A ferramenta, então, consegue recuperá-los e fazer os cálculos para voltar com os arquivos originais.

Outro pesquisador de segurança, chamado Benjamin Delpy, criou nesta sexta-feira (19) o Wanakiwi, que é baseado na ferramenta de Guinet, mas simplifica o processo. Ele encontra os números primos automaticamente, descriptografa os dados e cria arquivos compatíveis com o ransomware, que também evitam que o WannaCry entre em atividade novamente na máquina.

Este GIF mostra o Wanakiwi descriptografando arquivos em um computador com Windows 7:

E com Windows XP:

Como os números primos utilizados na criptografia ficam armazenados temporariamente na RAM, é importante que o computador não seja reiniciado depois de infectado, caso contrário, o Wanakiwi não funciona. Ainda não há um método conhecido para descriptografar arquivos em máquinas reinicializadas sem pagar o resgate exigido pelos criminosos.

Você pode baixar o Wanakiwi gratuitamente no GitHub. A ferramenta funciona por meio do Prompt de comando e já foi testada com sucesso no Windows XP, Windows 7, Windows Vista, Windows Server 2003 e Windows Server 2008.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Jamal Ismail

Errado!
Não atualiza porque o nome do arquivo criptografado é diferente do da nuvem diferente em nome tipo e em alguns casos de tamanho, automaticamente se cria um novo arquivo na nuvem...

Foi exatamente oq aconteceu com nossos clientes, aonde conseguimos usar o backup da nuvem

Weverton Soares Silveira

Backup em nuvem é unica forma acessível para recuperação de arquivos pós ataque de Ransomware, usamos o WTI Backup e conseguimos recuperar todos os arquivos com sucesso por duas vezes. www.wtibackup.com.br

Silvano Matta
Use o UFABackup (https://www.ufa.com.br). Ele não sobrescreve arquivos, com isto, mesmo que o arquivo seja alterado ainda tem até 20 versões anteriores. Pratico e totalmente nas nuvens.
edcley firmino
Você pode fazer via servidor de imagens, como um fogserver, por exemplo
Caleb Enyawbruce

Isso aí. Independente de uma solução para o problema, um ou dois backups externos são sempre uma boa pedida (ou dependendo da importância dos dados, são vitais).

Ramon Gonzalez
Isso aí. Independente de uma solução para o problema, um ou dois backups externos são sempre uma boa pedida (ou dependendo da importância dos dados, são vitais).
edcley firmino
Infelizmente para um vírus que criptografa arquivos de forma eficiente, só consigo ver como solução eficaz, um backup offline.
edcley firmino
Mas não tem versionamento ou snapshot
edcley firmino
Por isso tem o versionamento e snapshots
Caleb Enyawbruce

esse e o objetivo: evolução dos dois lados. É como um trem desgovernado impossivel de ser parado

Ramon Gonzalez
esse e o objetivo: evolução dos dois lados. É como um trem desgovernado impossivel de ser parado
Carlos Matos
Lamento, pra esse cenário é importante um delay com margem de segurança, talvez voce possa solicitar os arquivos a data inferior ao one drive que deve ter o full disso. Att
TKO
Você está certo, tenho um servidor no Canadá que foi infectado e os backup de banco de dados que ficam no onedrive, foram espelhados e todos os backup perdidos.
Carlos Matos
Errado, se a nuvem espelhar os arquivos locais ele atualiza os que estão em nuvem pelo criptografado o ideal nesse caso é ter um delay entre nuvem e fisico.
Glauber Silva
Na empresa onde trabalho um servidor pegou o wannacry. Voltei a imagem de um dia anterior. Fim.
Exibir mais comentários