top of page
Writer's pictureCông Ty Trần Sang

Cứu dữ liệu máy tính nhiễm ransomware WannaCry bằng công cụ Wanakiwi

Updated: Aug 5, 2019


Cứu dữ liệu máy tính nhiễm ransomware WannaCry bằng công cụ Wanakiwi.

Nếu bạn sở hữu máy tính chạy hệ điều hành Windows XP hoặc Windows 7 bị nhiễm ransomware (mã độc tống tiền) WannaCry, có tin tốt dành cho bạn: các nhà nghiên cứu Pháp đã tạo ra một tiện ích phần mềm được gọi là wanakiwi, có khả năng mở khóa máy tính đang bị nhiễm.


Matt Suiche, người sáng lập CloudVolumes và Comae, đã công bố một bài đăng trên blog mô tả cách thức công cụ wanakiwi của Benjamin Delpy hoạt động: Nó truy tìm các số nguyên tố được sử dụng bởi ransomware này để tái tạo lại khoá - trước đó được sử dụng để mã hóa máy tính của bạn. Một khi công cụ wanakiwi được chạy, về cơ bản nó có thể tạo ra khóa, và sau đó sẽ mở khóa các tập tin đã bị mã hóa.


Lưu ý: Để công cụ này có cơ hội tái tạo lại khóa, máy tính bị nhiễm không được khởi động lại. Ngoài ra, wanakiwi cần phải được chạy càng sớm càng tốt, bởi vì các số nguyên tố mà ransomware sử dụng có thể bị ghi đè theo thời gian, Suiche viết. Người dùng máy tính bị nhiễm WannaCry cần tải công cụ này về, chạy nó và "cầu nguyện" các số nguyên tố chưa bị ghi đè, theo Suiche.


Hiện tại, wanakiwi đã được chứng minh là hoạt động trên các máy tính bị nhiễm chạy Windows XP và Windows Server 2003, cũng như Windows 7. Wanakiwi được cho là, chưa được chứng minh, cũng sẽ mở khóa các máy tính chạy mọi phiên bản hệ điều hành giữa Windows XP và Windows 7, bao gồm Windows Vista, Suiche viết. Máy tính Windows 10 vẫn không bị ảnh hưởng bởi WannaCry.


Theo Suiche, người cộng tác với Delpy triển khai công cụ wanakiwi , phần mềm này tái tạo các tập tin .DKY mà Wannacry tìm kiếm và cũng ngăn cản việc tạo ra các tập tin bị mã hóa mới. (Click vào đây để xem hình GIF cho thấy cách hoạt động của tiến trình này).


Mặc dù nhiều báo cáo công bố có hơn 200.000 máy tính đã bị nhiễm, nhưng con số này vẫn không ngừng tăng lên trong suốt 7 ngày WannaCry lưu hành. Điều khiến WannaCry nguy hiểm đến như vậy là bởi loại máy tính bị ảnh hưởng: máy tính tại các doanh nghiệp và cơ quan công cộng như National Health Service (Dịch vụ Y tế Quốc gia) của Anh, tổ chức này chủ yếu chi ngân sách cho công nghệ để hỗ trợ bệnh nhân, hơn là công nghệ thông tin.


Trước đó, Microsoft đã phát hành bản vá để ngăn chặn WannaCry. Tuy nhiên, các chuyên gia cảnh báo rằng còn những thứ nguy hiểm khác ngoài WannaCry, và các khai thác tiếp theo sẽ lan truyền bằng cách sử dụng lỗ hổng được công bố bởi nhóm tự xưng Shadow Brokers.


Gần đây, một nhóm chuyên gia bảo mật đã tổ chức hội nghị suốt cả ngày để cung cấp lời khuyên cho người dùng về cách đối phó với ransomware. Một trong những bước này là bình tĩnh chờ đợi trong khi các chuyên gia làm việc để tìm giải pháp. Thêm một bước khác cũng rất quan trọng: nếu trước đó bạn đã sao lưu dữ liệu vào nơi khác và thiết bị lưu trữ này đã ngắt kết nối, bạn chỉ cần tạo lại phần công việc đã bị mất.


bottom of page