[Wannacry] Unlock file bị mã bởi ransomeware Wanna cry | Decrypt file encrypted by Wanna cry

Please scroll down for English version.
 
Vietnamese version :

Gỉai mã ransomeware Wanacry bằng WanaKiwi + Demos

Đầu tiên
Để unlock được file bị mã hóa bạn không được restart máy tính sau khi nhiễm virus.Sau đó hãy tải bộ công cụ WanaKiwi. 

Nếu bạn có chẳng may khởi động lại máy, thì có lẽ cách dưới đây khá là khó thành công. Nhưng đừng vội vứt máy tính, dù không thể lấy lại những tài liệu bị mã hóa nhưng bạn vẫn có thể cứu chiếc máy tính của mình bằng cách cài lại win và format toàn bộ bộ nhớ cũ.

Sử dùng :

Bạn chỉ cần tải về công cụ và chạy nó trên máy tính bị nhiễm. Cài đặt mặc định sẽ hoạt động.

Hướng dẫn :  wanakiwi.exe <PID>

- PID ( Process Id ) là một tham số tùy chọn. Theo cài đặt mặc định, wanakiwi sẽ tự động tìm kiếm các process đang chạy mang tên wnry.exe hoặc wcry.exe nên không nên yêu cầu tham số này. Nhưng trong trường hợp, quá trình chính có một tên khác nhau, thì tham số này có thể được sử dụng như một tham số đầu vào. 
Bạn có thể xem tên process của Wanacry trong Task Manager

Wanakiwi

1    Download wanakiwi ở đây

2    Wanakiwi.exe sẽ tự động tìm tệp 00000000.pky .

3    Các ngón tay chéo mà số nguyên tố của bạn chưa bị ghi đè lên từ không gian địa chỉ của tiến trình.   

 

(Một cách ngắn gọn bạn chỉ cần tải về và chạy file Wanakiwi.exe và nó sẽ tự gải mã những file đã bị mã hóa và ngăn cả việc các file bị mã hóa thêm nữa) 

Nếu bạn vẫn không biết dùng nó ra sao thì hãy xem video hướng dẫn sau đây :

(Youtube link: https://www.youtube.com/watch?v=PGg2th0wSVY)

Trước Wanakiwi có một số công cụ đã được phát triển để tìm ra key mở khóa file như Wanakey,.. nhưng những công cụ này không thực sự hoạt động tốt còn Wanakiwi thì hoạt động tốt và đã được thử nghiệm thành công từ windows XP đến windows 7.

( Ở bài viết gốc, tác giả phân tích thêm về công cụ Wannakey. Nếu bạn muốn xem phân tích có thể xem tại đây )

Gỉai thích về phương pháp và tại sao không nên restart máy tính

Công cụ này tìm ra key để giải mã file.

Khi ransomeware được cài vào máy tính nó sẽ mã hóa file và tạo ra 1 key riêng biệt để giải mã file cho máy tính đó sau đó key sẽ được gửi lại cho attacker và bị xóa khỏi máy tính đó.

Phương pháp này dựa vào việc tìm số nguyên tố trong bộ nhớ để có thể tìm lại key, nếu bộ nhớ chưa được sử dụng lại - điều này có nghĩa là sau một khoảng thời gian nhất định, bộ nhớ có thể được sử dụng lại và những số nguyên tố này có thể bị xóa. Ngoài ra, điều này có nghĩa là máy bị nhiễm không nên đã được khởi động lại vì khi khởi động lại thì các số nguyên tố trong bộ nhớ sẽ bị xóa và có thể không tìm được key.

Chúc các bạn thành công.

Bài viết được dịch và chỉnh sửa bởi B-cys.blogspot.com. Mọi copy vui lòng ghi rõ nguồn.
 

English version : 
First, this post was translated to Vietnamese from Matt Suiche's article in blog.come.up. I have edited author's article to match Vietnamese.
If you use English, please check his post here.

Or follow my short guide to decrypt your file base on author's way if you just wana decrypt your file.

Short guide : 

1   Download Wanakiwi Tool

2   Run Wanakiwi.exe

3   Cross fingers that your prime numbers haven’t been overwritten from the process address space.

This is video guide : 

Good luck.

Bài viết được dịch và chỉnh sửa bởi B-cys.blogspot.com. Mọi copy vui lòng ghi rõ nguồn.