https://www.osslab.com.tw/nomoreransom/

這篇文章把現有機會的勒索病毒恢復工具跟工作原理都整理好了

資料救援首選 OSSLab Geek Lab
http://vm.osslab.com.tw/

#OSSLab
#不是Programkiddle資料救援公司
#原生內容

https://github.com/aguinet/wannakey
這是法國人adrien guinet公開的 WannaCry 貨真價實"提取密鑰質數"程式
先來理解WannaCry 是用2048 bit RSA key
RSA key基本原理是 以二個超大質數 相乘
此質數一但破取得 RSA密鑰 就可解密檔案

這程式原理
是利用 wcry.exe進程 。Windows API CryptDestroyKey和CryptReleaseContext在釋放之前不會從記憶體中刪除質數。

就可取得RSA密鑰.

這不是勒索病毒作者的錯誤，他們呼叫Windows Crypto API沒問題。
這是因為在Windows XP ,7 ,2003 ,Vista CryptReleaseContext不清理RSA 質數。
而在Windows 10下，CryptReleaseContext會清理記憶體（因此無法用這種方法取得RSA密鑰質數）。

另外使用此程式 OS當然不要關機.. wcry.exe進程不可關閉.

此程式取得出得質數後 ,還需要Windows Crypto API.來合成 解密用的RSA private key
#OSSLab
#滿天假技術
#滿地假專家
#WannaCry