Window XP 現有解密 WCry 的可能

Window XP 是 Microsoft 最長壽的作業系統，在 Microsoft 宣佈停止支援後仍有很多用戶，最近的勒索病毒 WCry 因牽連甚廣，Microsoft 也即時推出安全更新，連 Window XP 也有份。最近有研究人員發現，一個存在於 Window XP 內的限制，卻可能成為拯救用戶資料的一環。

法國 Quarkslab 研究員 Adrien Guinet 表示，如果 Windows XP 系統遭到 WCry 勒索病毒的感染，那麼用戶可以自行解密數據，而不必支付 300 至 600 美元的贖金。

Adrien 發佈了一款開源軟體，他將這款軟體命名為 Wannakey，並將之放上 Github。他表示，該軟體幫他發現了實驗室中被感染 Windows XP 電腦所需的數據解密密鑰。該軟體尚未在 Windows XP 系統中大範圍測試，而即使軟體有效，也仍然存在限制。他表示：「這款軟體只在 Windows XP 下進行過測試，並且已知只對 Windows XP 有效。如果希望使用這款軟體，必須確保電腦在被感染之後沒有曾經重新啟動。此外，你還需要一定的運氣，軟體可能不是對所有情況都有效。」

WannaCry 勒索病毒使用了 Windows 中集成的 Microsoft 密碼 API 去處理多項功能，包括生成文件的加密解密密鑰。在建立並獲得密鑰後，在大部分版本的 Windows 中，API 會清除該密鑰。不過，Windows XP 現存的限制會導致API 無法清除密鑰。因此，在電腦關機並重新啟動之前，用於生成 WCry 密鑰的主序列可能會一直駐留在記憶體中。WannaKey 理論上能掃瞄 Windows XP 系統記憶體，並提取其中的相關資訊。

但 Adrien 表示 WannaKey 除了要電腦未曾重新啟動，亦需要些微運氣。「如果你足夠幸運（即相關的記憶體區塊尚未被重新分配或清除），這些主序列可能仍駐留在記憶體內。」此外，另一位研究員很快的發佈了另一款以 WannaKey 為基礎，但更便於使用的軟體，名為 WanaKiwi。

但目前未有研究人員嘗試證實此軟體的功用，甚至來自 Comae Technologies 的研究員 Matt Suiche 表示他未能成功使用 WannaKey 來取回資料。

不過，Window XP 目前並不是受 WannaCry 感染最嚴重的版本，Win 7 才是。根據香港電腦保安事故協調中心的報告，截至5月18日為止，香港有 33 宗個案，其中絕大多數是使用 Win 7 作業系統。

如果讀者有興趣了解 Wannakey，可以到其 Github 查看。