UZCERT

WannaKey и Wanakiwi
На международном уровне продолжаются работы по разработке новых инструментов и методов, позволяющих восстанавливать данные, пострадавшие в результате атаки шифровальщика WannaCry. WannaKey
Первым о способе расшифровки данных сообщил французский исследователь Адриен Гинье (Adrien Guinet) из компании Quarkslab. Данный метод работал только для операционной системы Windows XP и далеко не во всех случаях.
Гинье опубликовал на GitHub исходные коды инструмента, который он назвал WannaKey.
Методика исследователя, по сути, базируется на эксплуатации достаточно странного и малоизвестного баг в Windows XP, о котором, похоже, не знали даже авторы нашумевшего вируса-вымогателя. Дело в том, что при определенных обстоятельствах из памяти машины, работающей под управлением XP, можно извлечь ключ, необходимый для «спасения» файлов.
Более подробно о методе Гинье можно ознакомиться
здесь и здесь.
Wanakiwi Другие исследователи уже подхватили идею и доработали WannaKey.
На базе WannaKey был создан инструмент Wanakiwi, который работает не только с Windows XP, но и 86-разрядными версиями Windows 7, 2003, Vista, Server 2008 и 2008 R2.
Релизы Wanakiwi здесь.
Разработал это решение французский исследователь Бенджамин Делпи (Benjamin Delpy), при поддержке сооснователя компании Comae Technologies и эксперта Microsoft Мэтью Сюиша (Matthieu Suiche).

Равно как и WannaKey, новый инструмент эксплуатирует небольшой недочет, обнаруженный исследователями в Microsoft Crypto API, что позволяет извлечь из памяти зараженной машины приватный ключ, необходимый для восстановления пострадавших файлов. Однако, пока wanakiwi по-прежнему сработает лишь в том случае, если зараженный компьютер не выключали и не перезагружали после атаки WannaCry.
Более подробно о Wanakiwi можно ознакомиться здесь и здесь.