Восстановление файлов после WannaCry с помощью WannaKiwi

Источник изображения: Zephyr_p / Shutterstock

Коротко о проблеме

WannaCry — это разновидность вымогательского ПО (ransomware), которое в прошлом распространялось через уязвимость в протоколе SMB v1. В отличие от обычных фишинговых атак, заражённые компьютеры могли самостоятельно распространять вредоносный код по локальной сети, даже если пользователи не кликали по ссылкам.

Важно: платить вымогателям нельзя — нет гарантии, что они вернут доступ к файлам. Вместо этого существуют инструменты восстановления, которые иногда помогают извлечь ключи шифрования из оперативной памяти заражённой системы.

Что такое WannaKiwi и как он помогает

WannaKiwi — это утилита, созданная для извлечения «остаточных» секретных чисел, используемых WannaCry при генерации ключей шифрования. Если эти числа ещё находятся в памяти процесса и система не была перезагружена, инструмент может восстановить ключ и расшифровать файлы.

Краткое определение: ransomware — программа, шифрующая файлы и требующая выкуп за ключ дешифровки.

Условия, при которых метод может сработать

• Машина не должна была быть перезагружена после заражения. Перезагрузка обычно очищает оперативную память и уничтожает необходимые данные.
• Другие процессы не должны были перезаписать область памяти, которую использовал WannaCry.
• Метод применим к Windows XP, Vista, Windows 7, Server 2003/2008 (при соблюдении вышеперечисленных условий).

Если выполняются эти условия — стоит попробовать. Если нет — вероятность успеха низкая.

Пошаговая инструкция

1. Отключите заражённый компьютер от сети — это предотвращает дальнейшее распространение.
2. Сделайте образ диска или снимок системы (disk image) перед любыми действиями. Работайте только с копией.
3. Скачайте утилиту WannaKiwi с официального репозитория разработчика. Проверяйте контрольные суммы и подписи, если они доступны.
4. Запустите WannaKiwi на инфицированной (или на её клоне) машине без перезагрузки. По словам автора, стандартных настроек часто достаточно.

Пример запуска в Windows (запуск от администратора):

wannakiwi.exe

5. Утилита попытается прочитать нужные числа из памяти и сгенерировать ключ расшифровки. Если удача на вашей стороне — начнётся процесс расшифровки.
6. После завершения проверьте целостность файлов и восстановите из резервных копий то, что повреждено.

Примечание: подробное руководство по использованию и возможные опции ищите в документации разработчика инструмента.

Когда метод не сработает (контрпримеры)

• Машина была перезагружена после заражения — память очищена и ключ часто теряется.
• Автоматические процессы очистки памяти или антивирус удалили следы процесса.
• Заражение происходило долгое время назад и память уже перезаписана.

В этих случаях придётся рассматривать восстановление из резервных копий или профессиональную помощь, но не платить вымогателям.

Альтернативы и дополнительные подходы

• Восстановление из резервных копий — самый надёжный способ вернуть данные.
• Обращение в специализированную компанию по реагированию на инциденты (IR) — полезно для корпоративных сред.
• Попытки использования других утилит для расшифровки, если они доступны для конкретной версии вымогателя.

Чеклист для администраторов и команды реагирования

• Отключить пострадавшие машины от сети.
• Создать образ диска и дать команду на форензик-аналитику.
• Не перезагружать систему до завершения анализа (если цель — извлечь ключи из памяти).
• Запустить WannaKiwi на копии системы.
• Применить процедуру восстановления и проверить файлы.
• Обновить политику резервного копирования и патч-менеджмент.

Роли и задачи:

• IT-админ: создание образа, запуск утилит, отключение хостов.
• Руководитель безопасности: координация действий, связь с руководством.
• Юридический отдел: оценка требований к уведомлениям и регуляторным обязанностям.

Как предотвратить повторение

• Установите все критические обновления Windows — Windows 10 и Windows 7 с включёнными автоматическими обновлениями были защищены от этой конкретной версии WannaCry.
• Отключите устаревший протокол SMB v1 на всех машинах.

Отключение SMB v1 через Панель управления: «Программы» → «Включение или отключение компонентов Windows» → снять галочку с «SMB 1.0/CIFS File Sharing Support».

Отключение через PowerShell (выполнить от имени администратора):

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Или с помощью DISM (для совместимости с серверными версиями):

dism /online /norestart /disable-feature /featurename:SMB1Protocol

После отключения перезагрузите систему и проверьте совместимость с устаревшими устройствами (принтерами, NAS), которые могут требовать SMBv1.

Риски и меры смягчения

• Риск потери данных при неаккуратных действиях — всегда работайте с образами.
• Возможный простой бизнеса — готовьте коммуникацию и планы восстановления.
• Возможные юридические последствия утечки — уведомляйте ответственные службы при необходимости.

Краткое резюме

WannaKiwi — полезный инструмент, который иногда позволяет бесплатно расшифровать файлы после атаки WannaCry, но он работает только в ограничённых условиях (неперезагруженная система, сохранённая память). Всегда сначала создавайте образ диска и работайте с копией. Основная защита — своевременное обновление Windows и отключение SMB v1.

Важно: расскажите в комментариях, помог ли вам этот инструмент или знакомым — опыт сообщества важен для оценки эффективности.

1‑строчное глоссарий

• Ransomware — вредоносное ПО, шифрующее файлы и требующее выкуп.
• SMB v1 — устаревший файловый сетевой протокол Windows с известными уязвимостями.

Факт-бокс

• Первичная цель метода: извлечь числа из оперативной памяти процесса WannaCry и восстановить ключ шифрования.
• Поддерживаемые ОС, где метод чаще всего применим: Windows XP, Vista, 7, Server 2003/2008.