雷鋒網(wǎng)消息，5月19日，雷鋒網(wǎng)看到這一樣一則消息：Windows XP系統(tǒng)中了“想哭”勒索病毒后有救了 ！

原來，法國研究員 Adrien Guinet 在本周四表示，如果 Windows XP 系統(tǒng)遭到 “想哭”勒索病毒的感染，用戶可以自行解密數(shù)據(jù)。他在 GitHub 上發(fā)布了一個(gè)應(yīng)用程序，該軟件幫他發(fā)現(xiàn)了實(shí)驗(yàn)室中被感染 Windows XP 計(jì)算機(jī)所需的數(shù)據(jù)解密密鑰，不過該軟件尚未在Windows XP系統(tǒng)中得到大范圍測試。

Guinet 稱，該軟件只在 Windows XP 下進(jìn)行過測試，并且只對 Windows XP 有效。而且還有一個(gè)限制條件：Windows XP 計(jì)算機(jī)在被感染之后不能進(jìn)行過重啟，而且可能需要“一定運(yùn)氣”才能成功。

具體是如何“解密”的？

據(jù)公開資料顯示，“想哭”勒索蠕蟲使用了 Windows 中集成的微軟密碼 API 處理多項(xiàng)功能，包括生成文件的加密解密密鑰。在創(chuàng)建并獲得密鑰后，在大部分版本的 Windows 中，API會(huì)清除該密鑰。但是，在XP 中卻不會(huì)！在XP 系統(tǒng)中，API 目前無法清除密鑰。所以，在電腦關(guān)機(jī)重啟之前，用于生成“想哭”密鑰的主序列可能會(huì)一直駐留在內(nèi)存中。這意味著，密鑰可以被提取出來。

該應(yīng)用程序下載地址為：https://github.com/aguinet/wannakey/blob/master/bin/search_primes.exe。

5月19日下午四點(diǎn)左右，雷鋒網(wǎng)從騰訊方面得到消息，騰訊反病毒實(shí)驗(yàn)室在 Adrien Guinet 提供的代碼的基礎(chǔ)上，結(jié)合樣本分析結(jié)果，修改了其中一些關(guān)鍵問題，并將工具發(fā)布，同時(shí)表示正在對影響更大的WIN7系統(tǒng)解密進(jìn)行研究。騰訊方面暫時(shí)沒有發(fā)布該 XP 解密工具的具體成功率。

致謝：雷鋒網(wǎng)讀者李嵩為本文提供了部分信息。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。