Восстановление файлов после WannaCry с WannaKiwi

Экран компьютера с символом шифрования и сетевыми подключениями

Источник изображения: Zephyr_p via Shutterstock

Что произошло с WannaCry и почему есть шанс на восстановление

WannaCry — распространённая в прошлом программа-вымогатель (ransomware), которая использовала уязвимость в протоколе SMB и распространялась по сети без взаимодействия пользователя. Она шифрует файлы и требует выкуп. В некоторых реализациях шифровальщик оставляет в памяти критические числа (ключи/параметры), которые можно извлечь и на их основе восстановить ключ расшифровки. Именно этим пользуется утилита WannaKiwi.

Краткое определение: ransomware — вредоносное ПО, которое шифрует файлы и требует выкуп за расшифровку.

Важно

Не перезагружайте заражённый компьютер. Перезагрузка обычно уничтожает нужные данные в оперативной памяти.
Отключите машину от сети сразу же, чтобы предотвратить дальнейшее распространение.
По возможности снимите образ диска/памяти для последующего анализа и сохранения доказательств.

Когда этот метод работает

Система не была перезагружена после заражения.
Куски памяти, в которых хранится информация о ключах, не были перезаписаны другими процессами.
Операционная система — Windows XP, Vista, Windows 7 или Windows Server 2003/2008 (в этих ОС инструмент чаще применим).

Если хотя бы одно из условий нарушено, шанс успешной расшифровки падает значительно.

Пошаговое руководство

Изолируйте заражённый компьютер: выключите сеть и Wi‑Fi, физически отключите кабели.
Сделайте форенс-образ диска и снимок памяти (если есть навыки или инструменты). Это помогает сохранить текущую ситуацию и даёт возможность повторной попытки.
Скачайте WannaKiwi и поместите программу на заражённый компьютер или на резервный носитель.
Запустите утилиту с правами администратора на заражённой машине. Разработчик отмечает, что стандартные настройки обычно подходят.
- Пример запуска: откройте PowerShell или CMD с правами администратора и выполните файл: .\WannaKiwi.exe
Дождитесь завершения: инструмент попытается извлечь из памяти оставшиеся параметры и на их основе восстановить ключи.
Если ключи найдены, следуйте инструкциям утилиты для расшифровки файлов.
После успешной расшифровки сохраните логи, образ памяти и отчёт о проделанной работе для аудита.

Примечание: если вы не уверены в своих навыках, обратитесь к специалистам по инцидент‑реагированию.

Когда это не сработает

Система была перезагружена.
Память, где хранились тайные параметры, была перезаписана.
Вы используете Windows 10 с актуальными обновлениями (в таких системах заражение WannaCry обычно невозможно).

Если метод не сработал, переходите к альтернативам (см. ниже).

Альтернативные подходы

Восстановление из резервных копий. Это самый надёжный метод.
Использование образов диска и анализ у специалистов по цифровой криминалистике.
Обращение в инцидент‑реагирующую команду или профессиональные сервисы по восстановлению данных.
Сообщение в правоохранительные органы — важно для учёта преступлений и возможной помощи.

Никогда не платите выкуп без крайней необходимости: нет гарантии, что злоумышленники вернут ваши файлы, и оплата поддерживает их бизнес-модель.

Плейбук восстановления (быстрый план действий)

Оперативные действия (0–2 часа): изоляция, снимок памяти, образ диска, уведомление руководства.
Диагностика (2–8 часов): определите версию ОС, проверку журналов, запустите WannaKiwi при условии отсутствия перезагрузки.
Восстановление (8–48 часов): попытка расшифровки, восстановление из бэкапов, проверка целостности данных.
Пост‑инцидент (после 48 часов): анализ вектора проникновения, патчинг, обучение персонала, пересмотр процедур резервного копирования.

Роли и контрольный список

IT‑администратор: отключение от сети, снятие образов, запуск инструмента при правках.
Инцидент‑менеджер: координация, уведомления, принятие решения о восстановлении из бэкапов.
Юридический отдел: взаимодействие с правоохранительными органами, соблюдение требований по защите данных.

Критерии приёмки

Файлы расшифрованы и открываются без ошибок.
Система очищена от оставшегося вредоносного ПО.
Восстановленный образ и логи сохранены для аудита.
Причина заражения идентифицирована и устранена.

Риски и меры по снижению

Риск: перезагрузка уничтожает шансы на восстановление. Мера: запрет на перезагрузку до завершения форенс‑съёмки.
Риск: повторное распространение по сети. Мера: немедленная изоляция и проверка других узлов.
Риск: отсутствие бэкапов. Мера: внедрить регулярные резервные копии и проверку восстановления.

Как защититься и предотвратить похожие атаки

Устанавливайте обновления безопасности автоматически. Пользователи Windows 10 и Windows 7 с автоматическими обновлениями были в основном защищены от WannaCry.
Отключите устаревший протокол SMB v1: сделайте это через «Компоненты Windows», Group Policy или PowerShell (например, Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol).
Внедрите сегментацию сети, бэкапы и план инцидент‑реагирования.

Глоссарий (одно предложение на термин)

Ransomware — вредоносное ПО, шифрующее файлы и требующее выкуп.
SMB — протокол сетевого обмена файлами в Windows; устаревший SMB v1 представляет риск.
Форенсика — процесс сбора и анализа цифровых доказательств.

Вопросы и ответы

Q: Нужно ли платить выкуп?
A: Нет — платёж не гарантирует возврата данных и поддерживает преступную активность.

Q: Работает ли WannaKiwi на Windows 10?
A: На Windows 10 шансы ниже, так как современные системы и обновления обычно препятствуют успешному заражению и хранению нужных параметров в памяти.

Краткое резюме

WannaKiwi даёт реальный шанс восстановить файлы после WannaCry, но только в строго определённых условиях: машина не должна была быть перезагружена, и память не должна была быть перезаписана. Всегда сначала изолируйте систему, снимите образ и только затем пробуйте инструмент. В долгосрочной перспективе ключевые меры защиты — актуальные обновления, отказ от SMB v1 и надёжные резервные копии.

Если вы сталкивались с WannaCry или использовали WannaKiwi успешно — расскажите о своём опыте в комментариях, это поможет другим.