XP系統(tǒng)有救了！法國研究員發(fā)布WCry勒索病毒數(shù)據(jù)恢復(fù)軟件

　　5月19日消息 據(jù)外媒報道，法國Quarkslab研究員阿德里安·古奈特（Adrien Guinet）近日對外發(fā)布了一款軟件并聲稱，如果Windows XP系統(tǒng)遭到了WCry勒索病毒的感染，那么用戶可以通過該軟件自行解密數(shù)據(jù)，無需再向黑客組織支付所謂的“贖金”！

　　據(jù)古奈特介紹，該軟件幫他發(fā)現(xiàn)了實驗室中被感染W(wǎng)indows XP計算機所需的數(shù)據(jù)解密密鑰。該軟件尚未在Windows XP系統(tǒng)中得到大范圍測試，而即使軟件有效，也仍然存在限制。在上周WCry病毒爆發(fā)的過程中，Windows XP系統(tǒng)并不是受影響的重災(zāi)區(qū)，因此這一恢復(fù)技術(shù)的價值有限。

　　他將這款軟件命名為Wannakey。他表示：“這款軟件只在Windows XP下進行過測試，并且已知只對Windows XP有效。如果希望使用這款軟件，那么計算機在被感染之后不能進行過重啟。此外，你還需要一定的運氣，軟件可能不是對所有情況都有效。”

　　WCry勒索病毒也被稱作WannaCry，在感染計算機后會對計算機上的所有數(shù)據(jù)進行加密，而黑客要求受害者支付300至600美元的贖金，從而獲得恢復(fù)數(shù)據(jù)的密鑰。該勒索軟件使用了Windows中集成的微軟密碼API（應(yīng)用程序接口）去處理多項功能，包括生成文件的加密解密密鑰。在創(chuàng)建并獲得密鑰后，在大部分版本的Windows中，API會清除該密鑰。

　　不過，Windows XP存在的限制會導(dǎo)致API無法清除密鑰。因此，在計算機關(guān)機重啟之前，用于生成WCry密鑰的主序列可能會一直駐留在內(nèi)存中。WannaKey能掃描Windows XP系統(tǒng)內(nèi)存，提取其中的相關(guān)信息。

　　古奈特表示：“如果你足夠幸運（即相關(guān)的內(nèi)存塊尚未被重新分配或清除），這些主序列可能仍駐留在內(nèi)存里。”

　　他同時在Twitter上表示：“我完整地完成了解密過程。我可以確認，在這臺電腦上，密鑰可以從XP中恢復(fù)。”他在Twitter消息中提供了電腦屏幕截圖。

　　值得注意的是，Comae Technologies創(chuàng)始人、研究員馬特·蘇奇（Matt Suiche）日前發(fā)報告稱，古奈特的解密工具并沒有什么實際效果！

　　解密軟件下載地址：點擊進入