Wannakey / WannaKiwi : des antidotes à WannaCry
lun, 22/05/2017 - 15:40
Si votre machine a été infectée par le malware WannaCry, il est possible que Wannakey ou WannaKiwi vous sauve la mise et vous permette de récupérer vos données. Ne vous réjouissez pas trop vite cependant. Il faut aussi avoir de la chance (beaucoup).
Wannakey, que l'on peut télécharger sur GitHub, a été mis au point par un français, Adrien Guinet.
WannaKey utilise le fait que la mémoire de wcry.exe, l'exécutable du malware qui génère la clé privée de cryptage des données sur la machine attaquée, n'est pas toujours nettoyée. Donc si votre machine n'a pas été redémarrée depuis les méfaits de WannaCry, Wannakey examine la mémoire de wcry.exe à la recherche de la clé. Si celle-ci est trouvée, ce qui demande de la chance, comme le soulignent les auteurs de Wannakey, alors, il vous suffit de cliquer sur le bouton 'Decrypt' du malware pour récupérer vos fichiers en clair. Que la machine n'ait pas été redémarrée est bien sûr une condition sine qua non, puisque qu'un redémarrage réinitialise le contenu de la mémoire. Wannakey peut être essayé sur Windows XP, 7 x86, 2003, Vista et Windows Server 2008
Quant à WannaKiwi, il s'agit d'une variante de Wannakey, proposée par une autre français, Benjamin Delpy. WannaKiwi est également sur GitHub. Comme pour WannaKey, utiliser WannaKiwi avec succès demande de la chance et que la machine n'ait pas redémarré.
Un autre chercheur en sécurité, le français Matthieu Suiche, confirme dans un billet avoir pu utiliser ces outils avec succès sur Windows XP, Windows 7 et Windows Server 2003.