Récupérer ses données prises en otage par WannaCry, c’est possible !

Récupérer ses données chiffrées par le cryptovirus WannaCry, c’est possible ! L’APSSIS l’a testé pour vous !

Un peu plus d’une semaine après la propagation massive du rançongiciel chiffrant WannaCry qui a fait la une des médiats de nombreux pays, deux experts Français ont réussi dans un temps record à trouver une solution pour récupérer ces données prises en otage !

Adrien GUINET a développé un outil baptisé Wannakey (qui ne fonctionne apparemment que sous Windows XP).
De son côté Benjamin DELPY alias « gentilkiwi », très connu pour son expertise sur l’analyse mémoire sous Windows propose Wanakiwi, fonctionnant sur les versions Windows de XP à 7 (de 2003 à 2008R2 pour les serveurs).
C’est ce dernier que nous avons testé.

Important : pour que l’outil fonctionne, il faut impérativement que le système n’ait pas été redémarré car il va récupérer la clé de chiffrement stockée en mémoire. Même si vous n’avez pas été touché pour le moment, c’est un outil à conserver dans sa boîte à outil et une information à garder en tête.

Cet outil est vraiment d’une simplicité enfantine à utiliser !


Après que notre fichier ait été chiffré par WannaCrypt et donc rendu illisible :

Il suffit de lancer l’invite de commande, puis d’exécuter l’outil magique, wanakiwi.exe :


Après quelques minutes de travail, notre fichier a été restauré :

Pour rappel, ce cryptovirus, ainsi que ces successeurs utilisent la vulnérabilité MS17-010 (corrigée dans le patch Tuesday de Mars 2017) concernant le protocole SMB V1. Si celui-ci est actif sur vos machines, le patch de sécurité doit impérativement être appliqué pour éviter toute infection.
On notera la mise à disposition exceptionnelle par Microsoft de patchs pour ses systèmes actuellement plus supportés.

Windows XP SP2, SP3, Vista, 2003 et 2008 :
http://www.catalog.update.microsoft.com/Search.aspx?q=4012598

Windows 7 et 2008R2 :
http://www.catalog.update.microsoft.com/Search.aspx?q=kb4012212

Windows 8 et 2012 :
http://www.catalog.update.microsoft.com/Search.aspx?q=kb4012214

Windows 8.1 et 2012R2 :
http://www.catalog.update.microsoft.com/Search.aspx?q=kb4012213

Windows 10 version 1511 :
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013198

Windows 10 version 1607 et Sever 2016 :
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013429

Happy patching !

Partager ce document sur les réseaux