Nếu máy tính của bạn bị nhiễm WannaCry - thứ mã độc tống tiền đã hoành hành trên toàn thế giới vào thứ Sáu tuần trước (12/5),ĐãtìmracôngcụcứucácfilenhiễmWannaCrykhôngcầntrảtiềnchuộtrận đấu đội tuyển bóng đá quốc gia thái lan có thể bạn sẽ may mắn lấy lại được các tập tin bị khoá mà không phải trả khoản tiền chuộc 300 USD cho những tên tội phạm mạng.

Adrien Guinet, một nhà nghiên cứu an ninh của trung tâm nghiên cứu Quarkslab, Pháp đã phát hiện ra một cách hoàn toàn miễn phí để lấy ra các tệp tin bị mã độc tống tiền WannaCry mã hóa . Công cụ này hoạt động trên các hệ điều hành Windows XP, Windows 7, Windows Vista, Windows Server 2003 và 2008.

Chìa khóa giải mã ransomware WannaCry

Chương trình mã hóa WannaCry hoạt động bằng cách tạo ra một cặp khóa trên máy tính của nạn nhân, dựa trên những con số chính, một khoá công khai và một khóa riêng tư để mã và giải mã các tệp tin trên hệ thống.

Để ngăn nạn nhân truy cập vào khoá riêng tư và tự giải mã các tập tin bị mã hóa, WannaCry sẽ xóa khóa này khỏi hệ thống, không để nạn nhân lấy được khóa để tự giải mã trừ khi trả tiền chuộc cho kẻ tấn công.

Nhưng điểm mấu chốt là: WannaCry "không xóa những con số chính đó khỏi bộ nhớ trước khi giải phóng bộ nhớ liên quan," ông Guinet nói.

Dựa trên phát hiện này, Guinet đã tung ra một công cụ giải mã ransomware WannaCry mang tên WannaKey, mà công cụ này về cơ bản là nhằm truy hồi hai số nguyên tố, được sử dụng trong công thức để tạo ra các khoá mã hóa từ bộ nhớ.

“Công cụ này làm được như vậy nhờ tìm kiếm các tiến trình wcry.exe. Tiến tình này sẽ tạo ra khóa riêng tư RSA. Vấn đề chính ở đây là CryotDestroyKey và CryptReleaseContext không xóa những con số chính này khỏi bộ nhớ trước khi giải phóng bộ nhớ liên quan”, ông Guinet cho biết.

Vì vậy, có nghĩa là, phương pháp này sẽ chỉ hoạt động nếu:

- Máy tính bị ảnh hưởng chưa được khởi động lại sau khi bị nhiễm;