5月20日消息,據(jù)路透社報道,法國研究人員周五表示,他們已經(jīng)為技術人員找到能夠挽救被WannaCry勒索病毒加密的Windows文件的最后機會。WannaCry發(fā)布者威已脅開始鎖定一周前被該病毒感染的電腦,為此,網(wǎng)絡安全研究人員正爭分奪秒,以在最后期限到來前找到破解方式。
WannaCry上周五開始肆虐全球,在150個國家感染了超過30萬臺計算機。其發(fā)布者威脅稱,對于其計算機被感染后一周內(nèi)仍沒有支付300美元至600美元的受害者,將讓他們無法訪問其被鎖定的文件。
一個由分散在全球的網(wǎng)絡安全研究人員組成的一個組織松散的團隊表示,為破解被WannaCry鎖定文件的加密密鑰,他們通過合作已經(jīng)找到一個解決方案。這一消息被幾位獨立的安全研究人員所證實。
研究人員警告稱,他們的解決方案只能在某些條件下有效,即計算機自被感染以來沒有被重啟,同時受害者要在文件被永久性鎖定之前使用該修復工具。
歐洲刑警組織在Twitter上表示,歐洲網(wǎng)絡犯罪中心對該團隊開發(fā)的新工具進行了測試,發(fā)現(xiàn)“在某些情況下可以恢復數(shù)據(jù)”。
該團隊的成員包括法國網(wǎng)絡安全專家阿德里安·古奈特(Adrien Guinet)、國際知名黑客馬特?蘇伊切(Matthieu Suiche),以及法國業(yè)余安全研究員本杰明·德爾皮(Benjamin Delpy),后者在法蘭西銀行工作,利用夜間幫忙解決網(wǎng)絡安全問題。
德爾皮稱:“我們知道我們必須爭分奪秒,因為隨著時間的推移,恢復(被感染文件)的機會就越來越少。”在度過本周第二個不眠之夜后,他得以在巴黎時間周五早上6點發(fā)布一個可行的方法來解密被WannaCry鎖定的文件。
對這款不需支付贖金而能解密被感染電腦的免費工具,德爾皮將其命名為“Wanakiwi”。
蘇伊切發(fā)表了一篇博客文章,總結了“Wanakiwi”的技術細節(jié),并正加緊與受WannaCry影響的組織的技術人員分享。
他表示,通過快速測試,顯示“Wanakiwi”對Windows 7和更早版本的Windows XP和Windows 2003版本有效。他補充說,他相信這款匆忙開發(fā)的修復軟件也適用于Windows 2008和Windows Vista,意味著可涵蓋全部受影響的計算機。
蘇伊切通過Twitter上的“直接消息(direct message)”告訴路透社:“(該方法)應該適用于從Windows XP到Windows 7的任何操作系統(tǒng),”。
他補充說,到目前為止,來自歐洲幾個國家和印度的銀行、能源和一些政府情報機構已經(jīng)就修復問題聯(lián)系了他。
古奈特是巴黎網(wǎng)絡安全公司Quarkslab的安全研究員,他于周三和周四晚些時候發(fā)布了解密被WannaCry鎖定文件的理論性技術。德爾皮也在巴黎,他發(fā)現(xiàn)可以將該技術變?yōu)橐粋€能挽救被WannaCry鎖定的文件的實用工具。
目前身在迪拜的蘇伊切是世界頂級的獨立安全研究人員之一,他提供了有關建議和測試,以確保“Wanakiwi”在各種版本的Windows上都有效。
他的博客文章提供了德爾皮的“Wanakiwi”解密工具的鏈接,該工具基于古奈特最初提出的概念。古奈特的想法包括使用素數(shù)提取WannaCry加密代碼的密鑰,而不是試圖破壞該惡意軟件完整加密密鑰背后無限可能的一系列數(shù)字。
蘇伊切稱:“這不是一個完美的解決方案。但是到目前為止,這是幫助企業(yè)恢復文件的唯一可行解決方案,前提是文件已被感染但沒有備份。這可以讓用戶在不支付贖金的情況下恢復數(shù)據(jù)。”
根據(jù)網(wǎng)絡公司Kryptos Logic提供的數(shù)據(jù),截至本周三,受WannaCry感染的全球互聯(lián)網(wǎng)地址中有一半位于中國和俄羅斯,分別占30%和20%。
Kryptos Logic稱,相比之下,在受感染的全球互聯(lián)網(wǎng)地址中,美國所占比例僅為7%,英國、法國和德國則均為2%。
截止周五,在WannaCry病毒爆發(fā)的七天內(nèi),WannaCry的訛詐帳戶似乎只收到309筆付款,價值約9.4萬美元。
這不到估計受害者的千分之一。
這可能反映了安全專家說的各種因素,包括懷疑攻擊者將履行其承諾的疑慮,或一些組織有備份存儲計劃,允許他們在不支付贖金的情況下有恢復數(shù)據(jù)的可能性。