360 RansomRecovery: Тестирао сам дешифровање фајлова шифрованих WannaCry ренсомвером

Пре неколико дана компанија коју доста ценим, Qihoo која стоји иза одличног заштитног софтвера 360 Total Security је објавила засебан алат за дешифровање фајлова зашифрованим Petya и WannaCry ransomware-ом – па сам испробао како и дали то ћересло ради. На виртуалној машини под Windows 10 x64 прекопирао сам а свог компјутера неколико различитих типова фајлова (txt, mp3,.jpg,.png, doc) па покренуо WannaCry извршни фајл – и сачекао да се све зашифрује и упропасти систем.

Након шифровања и познатих екстензија .WNCRY и прозора са тражењем откупнине фајлови су постали неупотребљиви. Шта је било следеће, инсталирао сам 360 Ransomware Decryption Tool скенирао систем – међутим избацио ми је обавештење да је у питању WannaCry а он уме да реши само оне зашифроване Petya малвером – и да ми за њега треба додатни алат који сам скинуо и покренуо – те је покренуто скенирање целог система у потрази за шифрованим фајловима и нађени су ови моји фајлови које сам ставио и били су доступни за дешифровање – те сам покренуо процес дешифровања на други диск.

Резултат – фајлови који су били дешифровани су били успешно дешифровани, што је програм и написао – АЛИ и даље оштећени. Од иницијалних 6 фајлова, дешифровано је свих шест тако да бих се упишао у гаће од среће да сам заиста био инфициран и видео то – али бих после највероватније Кинезима наглас јебао и оца и мајку јер су фајлови били неупотрeбљиви и у неоригиналном стању. Занимљиво је да је величина фајлова остала иста што се тиче оригиналног фајла и оног дешифрованог – али њихов SHA-256 checksum није био исти. Алат јесте дешифровао успешно неке сасвим пете фајлове које сам проверио – али су мени ти фајлови били небитни.

Дакле – можете пробати овај алат ако сте се заразили – реално…немате шта изгубити ако „recover“ фајлова радите на флеш или екстерни диск али шансе да ћете добити своје фајлове назад – мере се у вероватноћи да ће нам бити боље за две најдуже 3 године. Укратко – ћорак. Доле су сцене из целог процеса.

Оригинално стање ствари – Пре инфекције

 

Покренут WannaCry извршни фајл и фајлови зашифровани а комп инфициран

 

Моји фајлови после инфекције

 

Покрећем 360 Ransomware Decryptor

 

Почео процес потраге за фајловима шифрованим са WannaCry ransomwareом

 

Пронађени разни фајлови који су били зашифровани

 

Изглед зараженог текстуалног фајла – оригиналног и дешифрованог

 

Упоредба SHA-256 checksumа фајла – оригиналног и дешифрованог

Програм има и мане да се фајлови не могу сачувати на дељени мрежни фолдер (који би био „dedicated“ само за ово) а пар пута, пошто сам ово покушавао више пута – није ни налазио мојих 6 шифрованих фајлова – као фајлова зашифрованих WannaCry малвером. Мана програма је и што не може радити дешифровање фајлова на другом компјутеру – не можете фајлове прекопирати на неки флеш – па на другом компјутеру покренути програм и дешифровати, програм их једноставно не налази.

Прочитајте ви ипак упутство како се превентивно одбранити од WannaCry и свих осталих напасти убудуће на овом линку и немојте много очекивати од ових декриптора. Надам се да ће у новијим верзијама декриптора ово радити много боље.

Оцена 2/10 (јер је ипак неке фајлове дешифровао иако су мени остали неупотребљиви).

НАПОМЕНА: Ово сам све радио на виртуалној машини на VirtualBox-у, изолованој од физичке машине (мог лаптопа) на којем је систем имао последња Виндовс ажурирања и активиран антивирус а и преко firewall-а сам додатно забранио било какав приступ мојој машини са ове због – НеДајБоже, као и другим уређајима које имам на мрежи. Немојте се играти са овим стварима ако не знате шта тачно радите или ће вам бити жао.