Пре неколико дана компанија коју доста ценим, Qihoo која стоји иза одличног заштитног софтвера 360 Total Security је објавила засебан алат за дешифровање фајлова зашифрованим Petya и WannaCry ransomware-ом – па сам испробао како и дали то ћересло ради. На виртуалној машини под Windows 10 x64 прекопирао сам а свог компјутера неколико различитих типова фајлова (txt, mp3,.jpg,.png, doc) па покренуо WannaCry извршни фајл – и сачекао да се све зашифрује и упропасти систем.

Наочаре за компјутер
Након шифровања и познатих екстензија .WNCRY и прозора са тражењем откупнине фајлови су постали неупотребљиви. Шта је било следеће, инсталирао сам 360 Ransomware Decryption Tool скенирао систем – међутим избацио ми је обавештење да је у питању WannaCry а он уме да реши само оне зашифроване Petya малвером – и да ми за њега треба додатни алат који сам скинуо и покренуо – те је покренуто скенирање целог система у потрази за шифрованим фајловима и нађени су ови моји фајлови које сам ставио и били су доступни за дешифровање – те сам покренуо процес дешифровања на други диск.

Резултат – фајлови који су били дешифровани су били успешно дешифровани, што је програм и написао – АЛИ и даље оштећени. Од иницијалних 6 фајлова, дешифровано је свих шест тако да бих се упишао у гаће од среће да сам заиста био инфициран и видео то – али бих после највероватније Кинезима наглас јебао и оца и мајку јер су фајлови били неупотрeбљиви и у неоригиналном стању. Занимљиво је да је величина фајлова остала иста што се тиче оригиналног фајла и оног дешифрованог – али њихов SHA-256 checksum није био исти. Алат јесте дешифровао успешно неке сасвим пете фајлове које сам проверио – али су мени ти фајлови били небитни.

Дакле – можете пробати овај алат ако сте се заразили – реално…немате шта изгубити ако „recover“ фајлова радите на флеш или екстерни диск али шансе да ћете добити своје фајлове назад – мере се у вероватноћи да ће нам бити боље за две најдуже 3 године. Укратко – ћорак. Доле су сцене из целог процеса.

Оригинално стање ствари – Пре инфекције

 

Покренут WannaCry извршни фајл и фајлови зашифровани а комп инфициран

 

Моји фајлови после инфекције

 

Покрећем 360 Ransomware Decryptor

 

Почео процес потраге за фајловима шифрованим са WannaCry ransomwareом

 

Пронађени разни фајлови који су били зашифровани

 

Изглед зараженог текстуалног фајла – оригиналног и дешифрованог

 

Упоредба SHA-256 checksumа фајла – оригиналног и дешифрованог

Програм има и мане да се фајлови не могу сачувати на дељени мрежни фолдер (који би био „dedicated“ само за ово) а пар пута, пошто сам ово покушавао више пута – није ни налазио мојих 6 шифрованих фајлова – као фајлова зашифрованих WannaCry малвером. Мана програма је и што не може радити дешифровање фајлова на другом компјутеру – не можете фајлове прекопирати на неки флеш – па на другом компјутеру покренути програм и дешифровати, програм их једноставно не налази.

Прочитајте ви ипак упутство како се превентивно одбранити од WannaCry и свих осталих напасти убудуће на овом линку и немојте много очекивати од ових декриптора. Надам се да ће у новијим верзијама декриптора ово радити много боље.

Оцена 2/10 (јер је ипак неке фајлове дешифровао иако су мени остали неупотребљиви).

НАПОМЕНА: Ово сам све радио на виртуалној машини на VirtualBox-у, изолованој од физичке машине (мог лаптопа) на којем је систем имао последња Виндовс ажурирања и активиран антивирус а и преко firewall-а сам додатно забранио било какав приступ мојој машини са ове због – НеДајБоже, као и другим уређајима које имам на мрежи. Немојте се играти са овим стварима ако не знате шта тачно радите или ће вам бити жао.