Cyber Threat Intelligence News

深刻化するサイバー空間における脅威への対抗手段として、国家の防衛のみならず民間においても必須のものとなったCyber Threat Intelligence(サイバー脅威インテリジェンス)を活用するために有益な情報を提供します。

WannaCryによって暗号化されたファイルを復号できる可能性のあるツール wanakiwi

サイバー攻撃の発生が疑われる場合、フォレンジックの観点から被疑端末は再起動などせず、できるだけ状態を保持することが定石です。WannaCryに感染した場合においても、この対応は「結果的に」適切だったようです。*1

 セキュリティ専業企業Comae Technologiesの共同創業者Matt Suiche氏によると、WannaCryに感染してから再起動していないコンピュータは、wanakiwiを試すことによって暗号化されてしまったファイルを復号することができる可能性があるということです。

blog.comae.io

ただし、再起動していないコンピュータにおいても感染から時間が経ってしまっているものには効果がないようです。

wanakiwiの使用方法は、被疑端末上のコマンドプロンプトで"wanakiwi.exe"を実行します(前掲のSuiche氏のブログに実行デモ動画があります)。

Usage: wanakiwi.exe <PID>

なお、PIDはオプションです。通常はwanakiwがwnry.exeかwcry.exeのプロセスを検出し、自動的にパラメータを設定します。

また、wanakiwiは以下のWindows OSで動作することが確認されていますが、Windows XP及び 7の他のバージョンや、Windows 2003、Vista、2008、2008 Rなどでも動作するだろうとのことです。

wanakiwはBenjamin Delpy氏によって開発され無償で公開されているものですが、このツールの使用に伴う結果については自己責任となりますのでご注意ください。

github.com

*1:ただし、感染拡大を防ぐには被疑端末をネットワークから隔離する必要があります。