360 RansomRecovery: Testirao sam dešifrovanje fajlova šifrovanih WannaCry rensomverom

Pre nekoliko dana kompanija koju dosta cenim, Qihoo koja stoji iza odličnog zaštitnog softvera 360 Total Security je objavila zaseban alat za dešifrovanje fajlova zašifrovanim Petya i WannaCry ransomware-om – pa sam isprobao kako i dali to ćereslo radi. Na virtualnoj mašini pod Windows 10 x64 prekopirao sam a svog kompjutera nekoliko različitih tipova fajlova (txt, mp3,.jpg,.png, doc) pa pokrenuo WannaCry izvršni fajl – i sačekao da se sve zašifruje i upropasti sistem.

Nakon šifrovanja i poznatih ekstenzija .WNCRY i prozora sa traženjem otkupnine fajlovi su postali neupotrebljivi. Šta je bilo sledeće, instalirao sam 360 Ransomware Decryption Tool skenirao sistem – međutim izbacio mi je obaveštenje da je u pitanju WannaCry a on ume da reši samo one zašifrovane Petya malverom – i da mi za njega treba dodatni alat koji sam skinuo i pokrenuo – te je pokrenuto skeniranje celog sistema u potrazi za šifrovanim fajlovima i nađeni su ovi moji fajlovi koje sam stavio i bili su dostupni za dešifrovanje – te sam pokrenuo proces dešifrovanja na drugi disk.

Rezultat – fajlovi koji su bili dešifrovani su bili uspešno dešifrovani, što je program i napisao – ALI i dalje oštećeni. Od inicijalnih 6 fajlova, dešifrovano je svih šest tako da bih se upišao u gaće od sreće da sam zaista bio inficiran i video to – ali bih posle najverovatnije Kinezima naglas jebao i oca i majku jer su fajlovi bili neupotrebljivi i u neoriginalnom stanju. Zanimljivo je da je veličina fajlova ostala ista što se tiče originalnog fajla i onog dešifrovanog – ali njihov SHA-256 checksum nije bio isti. Alat jeste dešifrovao uspešno neke sasvim pete fajlove koje sam proverio – ali su meni ti fajlovi bili nebitni.

Dakle – možete probati ovaj alat ako ste se zarazili – realno…nemate šta izgubiti ako „recover“ fajlova radite na fleš ili eksterni disk ali šanse da ćete dobiti svoje fajlove nazad – mere se u verovatnoći da će nam biti bolje za dve najduže 3 godine. Ukratko – ćorak. Dole su scene iz celog procesa.

Originalno stanje stvari – Pre infekcije

 

Pokrenut WannaCry izvršni fajl i fajlovi zašifrovani a komp inficiran

 

Moji fajlovi posle infekcije

 

Pokrećem 360 Ransomware Decryptor

 

Počeo proces potrage za fajlovima šifrovanim sa WannaCry ransomwareom

 

Pronađeni razni fajlovi koji su bili zašifrovani

 

Izgled zaraženog tekstualnog fajla – originalnog i dešifrovanog

 

Uporedba SHA-256 checksuma fajla – originalnog i dešifrovanog

Program ima i mane da se fajlovi ne mogu sačuvati na deljeni mrežni folder (koji bi bio „dedicated“ samo za ovo) a par puta, pošto sam ovo pokušavao više puta – nije ni nalazio mojih 6 šifrovanih fajlova – kao fajlova zašifrovanih WannaCry malverom. Mana programa je i što ne može raditi dešifrovanje fajlova na drugom kompjuteru – ne možete fajlove prekopirati na neki fleš – pa na drugom kompjuteru pokrenuti program i dešifrovati, program ih jednostavno ne nalazi.

Pročitajte vi ipak uputstvo kako se preventivno odbraniti od WannaCry i svih ostalih napasti ubuduće na ovom linku i nemojte mnogo očekivati od ovih dekriptora. Nadam se da će u novijim verzijama dekriptora ovo raditi mnogo bolje.

Ocena 2/10 (jer je ipak neke fajlove dešifrovao iako su meni ostali neupotrebljivi).

NAPOMENA: Ovo sam sve radio na virtualnoj mašini na VirtualBox-u, izolovanoj od fizičke mašine (mog laptopa) na kojem je sistem imao poslednja Vindovs ažuriranja i aktiviran antivirus a i preko firewall-a sam dodatno zabranio bilo kakav pristup mojoj mašini sa ove zbog – NeDajBože, kao i drugim uređajima koje imam na mreži. Nemojte se igrati sa ovim stvarima ako ne znate šta tačno radite ili će vam biti žao.