Tin vui với những nạn nhân của WannaCry, Adrien Guinet - nhà nghiên cứu bảo mật tại Quarkslab - đã tìm ra cách để phục hồi các dữ liệu mã hoá bởi WannaCry. Công cụ này được đặt tên là WannaKey, chạy trên Windows XP.
Tuy nhiên, điều kiện để công cụ này phát huy tác dụng là máy tính của nạn nhân chưa khởi động lại sau khi nhiễm WannaCry. Khi đó, công cụ này sẽ phục hồi những chuỗi số nguyên tố trong đoạn mã RSA được sử dụng bởi WannaCry.
Những máy tính dính mã độc WanaCry đã có "thuốc giải". |
Theo Adrien, khi mã độc WannaCry nhiễm vào máy tính, bên trong máy có tiến trình mang tên "wcry.exe". Tiến trình này tạo ra RSA private key. Mấu chốt của vấn đề nằm ở việc mã độc này không xoá những chuỗi số nguyên tố từ bộ nhớ trước khi giải phóng RAM. Do đó, nếu máy tính nạn nhân chưa khởi động lại, những chuỗi số này vẫn còn và được dùng để giải mã dữ liệu bị mã hoá.
Sau khi Adrien công bố WannaKey, một nhà nghiên cứu khác tên Benjamin Delpy đã dựa trên phát hiện của Adrien để phát hành công cụ mang tên WannaKiwi, đơn giản hoá quá trình giải mã và phục hồi. Quan trọng hơn, nó còn hoạt động trên cả Windows 7.
WannaKiwi hiện được đăng tải trên GitHub để cộng đồng tải về sử dụng.