勒索病毒中招者有救了！这款软件能还原数据

北京时间5月19日早间消息，法国Quarkslab研究员阿德里安·古奈特（Adrien Guinet）周四表示，如果win xp系统遭到wCry勒索病毒的感染，那么用户可以自行解密数据，而不必支付300至600美元的赎金。

古奈特发布了一款软件。他表示，该软件帮他发现了实验室中被感染win xp计算机所需的数据解密密钥。该软件尚未在win xp系统中得到大范围尝试，而即使软件有效，也仍然存在限制。在上周wCry病毒爆发的过程中，win xp系统并不是受影响的重灾区，因此这一还原技术的价值有限。

他将这款软件命名为wannakey。（下载地址：点击这里）他表示：“这款软件只在win xp下进行过尝试，并且已知只对win xp有效。如果但愿使用这款软件，那么计算机在被感染之后不能进行过重启。此外，您还需要一定的运气，软件可能不是对所有情况都有效。”

Comae Technologies创始人、研究员马特·苏奇（Matt suiche）报告称，古奈特的解密工具没有效果。

wCry勒索病毒也被称作wannaCry，在感染计算机后会对计算机上的所有数据进行加密，而黑客要求受害者支付300至600美元的赎金，从而获得还原数据的密钥。该勒索软件使用了win中集成的微软密码Api（应用程序接口）去解决多项功能，包括生成文件的加密解密密钥。在创建并获得密钥后，在大部分版本的win中，Api会清除该密钥。

不过，win xp存在的限制会导致Api无法清除密钥。因此，在计算机关机重启之前，用于生成wCry密钥的主序列可能会一直驻留在内存中。wannaKey能扫描win xp系统内存，提取其中的关于信息。

古奈特表示：“如果您足够幸运（即关于的内存块尚未被重新分配或清除），这些主序列可能仍驻留在内存里。”

他同时在Twitter上表示：“我全能地完成知道密过程。我可以确认，在这清华同方脑上，密钥可以从xp中还原。”他在Twitter消息中提供了电脑屏幕截图。