(modifié le 20 mai 2017 à 19:33)





Il est maintenant possible de récupérer vos fichiers chiffrés par le virus WannaCry, à condition de ne pas avoir redémarré la machine infectée car l'outil utilise une clé stockée en mémoire.

Vous pouvez restaurer le contenu des fichiers chiffrés sur Windows XP, Windows 2003, Vista, 2008 et 2008 R2.

C'est Adrien Guinet, chercheur en sécurité chez Quarkslab à Paris, qui a le crée l'outil WannaKey mais celui-ci fonctionnait uniquement avec Windows XP (il était associé à WannaFork pour fonctionner).

Puis le français Benjamin Delpy, que l'on connait déjà pour son puissant outil mimikatz qui jouait avec les tickets kerberos, a sorti l'outil WannaKiwi qui permet de déchiffrer les fichiers sur d'autres version que XP.

C'est grâce à un manque de sécurité de l'API Cryptographic de Windows que cet outil fonctionne, sympa non ?

#wanakiwi support Win2003 SRV(nobody use it, of course😅)

Still need a lots of luck to get #wanacry key from memoryhttps://t.co/7LTTZXXEsB pic.twitter.com/y0BmdbVeq3 — 🥝 Benjamin Delpy (@gentilkiwi) May 19, 2017

L'outil WanaKiwi est disponible ici :

https://github.com/gentilkiwi/wanakiwi/releases

Un autre français, Matt Suiche, résume le tout sur ce blog.

Bravo à ceux français pour leur talent #frenchpower !

note : comme quoi en cas d'infection il faut dans la mesure du possible déconnecter la machine du réseau mais ne pas la redémarrer dans l'immédiat. Facile avec une VM mais compliqué avec un serveur quand il est production et doit redélivrer le service le plus rapidement possible...