⚡ شرح أداة wanakiwi لاسترجاع الملفات التي تم تشفيرها بفيروس WannaCry ⚡

Adam B

كبير مسؤولي منتدى الكمبيوتر والانترنت
طاقم الإدارة
إنضم
29 سبتمبر 2009
المشاركات
17.025
مستوى التفاعل
74.988
csLVdz-I8S6tOX1vCkUyaT59Omz9lG2Q0Y7zN8q7z7B8FmWMx8tYMXyl9Pt4nNMIjLM7lLW7Dt0SShaRTTGgQP8v6-5U95DAI93rhsLrE__5eqQCcSa_zbtxmv60QjByYehRe_OnwIqgSIofymAknIgFMOVM2xHeZo4fS1wPEQNUfz9acdBmc2G1xPWJNB4JStiMYEYLMeLYL3TKd-Rdx89UCiErt3CPDcsS5-lCrN3fgLwLq9miHeRhXwJYcY0TXKgGwOmNTREPA1meEH96NEGAdv9kXZ_4wzeCQUgMFtrIn4PqhBOpqoL_Lg1cNVSCitcQp7MvqDF4sd4ORFxPEDZ6yiOGk-TjDitkUoevU2gE2jjFASvknWR24QYFvDLKHAy0wqliE9Rfj8E7bsxCMR0eTsBJsFKH_Vk0A8GrFDwT1fsGZqoWpopsinqS_ZxWmtZO7MNfuXwdtF_jpv8PJ8eIStp01meHwaz0fZiydUHL1PmL76qy4uvQOLhcQ5iS_XeB7kdWZuqAP0iO9MQ32UhwR96pGsxgOUx4TcWNZTkKdnQ-GRDkflcZfYdGU9mo6W9PsPoubyQKM_htVbHzwRVEIWKGmmwW2hMt8LzDcbmMGQHg32fiuQPua1VPUp9HSD_yR-Ny5zbi2JBXWGUHg-jfIgQMYCLQeMMY8DnHhg=w400-h328-no

GCtFrBRkxBh-uESvi8Y6fmxofjpLetwkR7-7JWyOHEuV8xTbGvvlW5qWrcVQrV2Q49aLvOt-rIIUMsn7KCsepLbvvwdKhFJIRhbeQThun3C2y8VTPXnRC9R2VoA5fegKhtXBTSGOEeiMTUAk9xKgfuAYu9xJPhFr9vUb7vH1NBS5dzY7ZWC57QlLkRcce1PpYP7pmBabpEZ4DIlAX3lxVUyHsx1jngtSr7mFwf_Gv0I02n3nyVfB7nrxwPoGlTYh0DTiSy40r4pX1SHOOQs7FZEmt65QHGOmupDuZJctu6V8tmJ0BEPu9GThyy51LJv9yrusfpU6mO8pxiK02Z9WGESEdN4NIEDdCJ3gKFBwHNJZvgur4hR4_9Xt2YRj2GIxHGdKszA2O5i6H3pbStmiw_BPz33vHCVu8XlWQ4DSv9slU1Ug3ceIvtiP7VevMWJ8v7BtE7dAOgRLagtf8KHlE4k6bBEloPv2u_VRSyYwqpFvbTBZeutTtkNj7UVm4Q1I01VnUrh-Bl5_y_wfFWpGXbTyOGD-KVpZEv3wlB9BaZkJ4QAXkFD2cHvZ_paz8g26CHQm6bTEio-RTe7bVm964-hq1PXw4gUJzVF_9bNaK7df8Au0RaAxkXdzNC1hG3Tl3yLVrXYKKiKHyKtCJGFjqiVNgEYx3an4acxJb71Neg=w638-h53-no

.:. أهلا و سهلا بكافّة الإخوة الأعضاء و الزوّآر في منتديات تونيزيآسآت عامّة .:.

.:. و في منتدى الشروحات خاصّة .:.
.:. ندعوكم لمتابعة هذاا الموضوع الجديد إن شاء الله تعـالى .:.
P9Aa87D.gif
P9Aa87D.gif

GCtFrBRkxBh-uESvi8Y6fmxofjpLetwkR7-7JWyOHEuV8xTbGvvlW5qWrcVQrV2Q49aLvOt-rIIUMsn7KCsepLbvvwdKhFJIRhbeQThun3C2y8VTPXnRC9R2VoA5fegKhtXBTSGOEeiMTUAk9xKgfuAYu9xJPhFr9vUb7vH1NBS5dzY7ZWC57QlLkRcce1PpYP7pmBabpEZ4DIlAX3lxVUyHsx1jngtSr7mFwf_Gv0I02n3nyVfB7nrxwPoGlTYh0DTiSy40r4pX1SHOOQs7FZEmt65QHGOmupDuZJctu6V8tmJ0BEPu9GThyy51LJv9yrusfpU6mO8pxiK02Z9WGESEdN4NIEDdCJ3gKFBwHNJZvgur4hR4_9Xt2YRj2GIxHGdKszA2O5i6H3pbStmiw_BPz33vHCVu8XlWQ4DSv9slU1Ug3ceIvtiP7VevMWJ8v7BtE7dAOgRLagtf8KHlE4k6bBEloPv2u_VRSyYwqpFvbTBZeutTtkNj7UVm4Q1I01VnUrh-Bl5_y_wfFWpGXbTyOGD-KVpZEv3wlB9BaZkJ4QAXkFD2cHvZ_paz8g26CHQm6bTEio-RTe7bVm964-hq1PXw4gUJzVF_9bNaK7df8Au0RaAxkXdzNC1hG3Tl3yLVrXYKKiKHyKtCJGFjqiVNgEYx3an4acxJb71Neg=w638-h53-no

uwsXgiVP7y7y3YLMkpJZ6aRldzaf8XZiLL_yN1H8M5Y53YPhRMaMHgPZdPTlPb7PsdGIIK-xcIAZIHm83onecIX2Cm1P7bHZrlQ5G9QXObPmISiWLm5CqeTdiPyLu3tD6tCOmD3Lk5B4qvAOg4X0keoC2BwWtW5fUuMHBIdIxJk1REHnCbNztp2sO3UIY0iSSs7GuNxDuCGV3aMlZeWaTH5cU7UHVPUjqVXGewlCvGzHHAx9lKMNHSGFpHqRTCtF70ecQSaawWANjsHydD4yxkU1HnE30q_k2WPU3z-FDMYOBJbQswOA1-vYy4hnwEkX-PiDzTJHcMB98x0df11BggButdcWf0HIc-DCJGDF0p9M34DpKK_7673CMY1lSMDdHGhoWKEiEXuA7eAMErQ6iJ_fKqIzNM_xL9D64lQON7EAqY4-rXIEmP9DP96w0VWN9__YTf7wKKy0JR0g5zXBiW96cRrYBVje19GwqOH1MHLDcrqJJPCoXat4YfXOGbnhclK4iVVSIHxMi-CYLtWitzBD4u-vOJLiIlRXw3oSfojsGsz-h-Oz_VixgQ0e7JoN2qRDViRfSNbotbiui_LjXAI2whHE0wiSis1kA90k7oni9UUfPjeB00Q65-U164AN68u-hat9ENrkbnxO4CQI6qxGIRzLktAMkAyiuy_YDA=w368-h200-no


دائما في سياق متابعتنا لمستجدات فيروس WannaCry الذي يقوم بتشفير بيانات الضحية و مطالبته بدفع فدية

تمكن أحد الباحثين الأمنيين في مجال الحماية من نشر أداة إسمها WanaKiwi تقوم باستعادة البيانات المشفرة

و سأقوم في الموضوع الحالي بشرح شروط و طريقة استخدامها
GCtFrBRkxBh-uESvi8Y6fmxofjpLetwkR7-7JWyOHEuV8xTbGvvlW5qWrcVQrV2Q49aLvOt-rIIUMsn7KCsepLbvvwdKhFJIRhbeQThun3C2y8VTPXnRC9R2VoA5fegKhtXBTSGOEeiMTUAk9xKgfuAYu9xJPhFr9vUb7vH1NBS5dzY7ZWC57QlLkRcce1PpYP7pmBabpEZ4DIlAX3lxVUyHsx1jngtSr7mFwf_Gv0I02n3nyVfB7nrxwPoGlTYh0DTiSy40r4pX1SHOOQs7FZEmt65QHGOmupDuZJctu6V8tmJ0BEPu9GThyy51LJv9yrusfpU6mO8pxiK02Z9WGESEdN4NIEDdCJ3gKFBwHNJZvgur4hR4_9Xt2YRj2GIxHGdKszA2O5i6H3pbStmiw_BPz33vHCVu8XlWQ4DSv9slU1Ug3ceIvtiP7VevMWJ8v7BtE7dAOgRLagtf8KHlE4k6bBEloPv2u_VRSyYwqpFvbTBZeutTtkNj7UVm4Q1I01VnUrh-Bl5_y_wfFWpGXbTyOGD-KVpZEv3wlB9BaZkJ4QAXkFD2cHvZ_paz8g26CHQm6bTEio-RTe7bVm964-hq1PXw4gUJzVF_9bNaK7df8Au0RaAxkXdzNC1hG3Tl3yLVrXYKKiKHyKtCJGFjqiVNgEYx3an4acxJb71Neg=w638-h53-no

J92m7Kv.gif


شروط استخدام الأداة

التوافق : الأداة تعمل على كل من Windows XP و Windows 7 و Windows 2003 و Vista و 2008 و 2008 R2
إلى حد هذه الساعة بالنواة 32 بيت (لم يتم التجربة على 64 بيت)

pnDplkt.png


GCtFrBRkxBh-uESvi8Y6fmxofjpLetwkR7-7JWyOHEuV8xTbGvvlW5qWrcVQrV2Q49aLvOt-rIIUMsn7KCsepLbvvwdKhFJIRhbeQThun3C2y8VTPXnRC9R2VoA5fegKhtXBTSGOEeiMTUAk9xKgfuAYu9xJPhFr9vUb7vH1NBS5dzY7ZWC57QlLkRcce1PpYP7pmBabpEZ4DIlAX3lxVUyHsx1jngtSr7mFwf_Gv0I02n3nyVfB7nrxwPoGlTYh0DTiSy40r4pX1SHOOQs7FZEmt65QHGOmupDuZJctu6V8tmJ0BEPu9GThyy51LJv9yrusfpU6mO8pxiK02Z9WGESEdN4NIEDdCJ3gKFBwHNJZvgur4hR4_9Xt2YRj2GIxHGdKszA2O5i6H3pbStmiw_BPz33vHCVu8XlWQ4DSv9slU1Ug3ceIvtiP7VevMWJ8v7BtE7dAOgRLagtf8KHlE4k6bBEloPv2u_VRSyYwqpFvbTBZeutTtkNj7UVm4Q1I01VnUrh-Bl5_y_wfFWpGXbTyOGD-KVpZEv3wlB9BaZkJ4QAXkFD2cHvZ_paz8g26CHQm6bTEio-RTe7bVm964-hq1PXw4gUJzVF_9bNaK7df8Au0RaAxkXdzNC1hG3Tl3yLVrXYKKiKHyKtCJGFjqiVNgEYx3an4acxJb71Neg=w638-h53-no

شرط ثاني : أن لا نكون قد قمنا بإعادة تشغيل للحاسوب بعد الإصابة بالفيروس (مهم جدااا)
GCtFrBRkxBh-uESvi8Y6fmxofjpLetwkR7-7JWyOHEuV8xTbGvvlW5qWrcVQrV2Q49aLvOt-rIIUMsn7KCsepLbvvwdKhFJIRhbeQThun3C2y8VTPXnRC9R2VoA5fegKhtXBTSGOEeiMTUAk9xKgfuAYu9xJPhFr9vUb7vH1NBS5dzY7ZWC57QlLkRcce1PpYP7pmBabpEZ4DIlAX3lxVUyHsx1jngtSr7mFwf_Gv0I02n3nyVfB7nrxwPoGlTYh0DTiSy40r4pX1SHOOQs7FZEmt65QHGOmupDuZJctu6V8tmJ0BEPu9GThyy51LJv9yrusfpU6mO8pxiK02Z9WGESEdN4NIEDdCJ3gKFBwHNJZvgur4hR4_9Xt2YRj2GIxHGdKszA2O5i6H3pbStmiw_BPz33vHCVu8XlWQ4DSv9slU1Ug3ceIvtiP7VevMWJ8v7BtE7dAOgRLagtf8KHlE4k6bBEloPv2u_VRSyYwqpFvbTBZeutTtkNj7UVm4Q1I01VnUrh-Bl5_y_wfFWpGXbTyOGD-KVpZEv3wlB9BaZkJ4QAXkFD2cHvZ_paz8g26CHQm6bTEio-RTe7bVm964-hq1PXw4gUJzVF_9bNaK7df8Au0RaAxkXdzNC1hG3Tl3yLVrXYKKiKHyKtCJGFjqiVNgEYx3an4acxJb71Neg=w638-h53-no


طريقة استخدام الأداة


نقوم أولا بتحميل الأداة من هذا الرابط

ثم نقوم بفك ضغط الأداة على سطح المكتب

mwn6nCs.png


ثم نقوم بتشغيل الملف wanakiwi.exe

lvJ02Tf.png


GCtFrBRkxBh-uESvi8Y6fmxofjpLetwkR7-7JWyOHEuV8xTbGvvlW5qWrcVQrV2Q49aLvOt-rIIUMsn7KCsepLbvvwdKhFJIRhbeQThun3C2y8VTPXnRC9R2VoA5fegKhtXBTSGOEeiMTUAk9xKgfuAYu9xJPhFr9vUb7vH1NBS5dzY7ZWC57QlLkRcce1PpYP7pmBabpEZ4DIlAX3lxVUyHsx1jngtSr7mFwf_Gv0I02n3nyVfB7nrxwPoGlTYh0DTiSy40r4pX1SHOOQs7FZEmt65QHGOmupDuZJctu6V8tmJ0BEPu9GThyy51LJv9yrusfpU6mO8pxiK02Z9WGESEdN4NIEDdCJ3gKFBwHNJZvgur4hR4_9Xt2YRj2GIxHGdKszA2O5i6H3pbStmiw_BPz33vHCVu8XlWQ4DSv9slU1Ug3ceIvtiP7VevMWJ8v7BtE7dAOgRLagtf8KHlE4k6bBEloPv2u_VRSyYwqpFvbTBZeutTtkNj7UVm4Q1I01VnUrh-Bl5_y_wfFWpGXbTyOGD-KVpZEv3wlB9BaZkJ4QAXkFD2cHvZ_paz8g26CHQm6bTEio-RTe7bVm964-hq1PXw4gUJzVF_9bNaK7df8Au0RaAxkXdzNC1hG3Tl3yLVrXYKKiKHyKtCJGFjqiVNgEYx3an4acxJb71Neg=w638-h53-no


بعد بعض الدقائق ستعود الملفات كما كانت بحول الله

و الآن من الضروري جدا حفظ الملفات المسترجعة على قرص خارجي غير مصاب

إضافة كذلك إلى ملف 00000000.dky الذي قامت الأداة بإنشائه

ثم القيام بفرمتة كلية للجهاز و إعادة تنصيب الويندوز

GCtFrBRkxBh-uESvi8Y6fmxofjpLetwkR7-7JWyOHEuV8xTbGvvlW5qWrcVQrV2Q49aLvOt-rIIUMsn7KCsepLbvvwdKhFJIRhbeQThun3C2y8VTPXnRC9R2VoA5fegKhtXBTSGOEeiMTUAk9xKgfuAYu9xJPhFr9vUb7vH1NBS5dzY7ZWC57QlLkRcce1PpYP7pmBabpEZ4DIlAX3lxVUyHsx1jngtSr7mFwf_Gv0I02n3nyVfB7nrxwPoGlTYh0DTiSy40r4pX1SHOOQs7FZEmt65QHGOmupDuZJctu6V8tmJ0BEPu9GThyy51LJv9yrusfpU6mO8pxiK02Z9WGESEdN4NIEDdCJ3gKFBwHNJZvgur4hR4_9Xt2YRj2GIxHGdKszA2O5i6H3pbStmiw_BPz33vHCVu8XlWQ4DSv9slU1Ug3ceIvtiP7VevMWJ8v7BtE7dAOgRLagtf8KHlE4k6bBEloPv2u_VRSyYwqpFvbTBZeutTtkNj7UVm4Q1I01VnUrh-Bl5_y_wfFWpGXbTyOGD-KVpZEv3wlB9BaZkJ4QAXkFD2cHvZ_paz8g26CHQm6bTEio-RTe7bVm964-hq1PXw4gUJzVF_9bNaK7df8Au0RaAxkXdzNC1hG3Tl3yLVrXYKKiKHyKtCJGFjqiVNgEYx3an4acxJb71Neg=w638-h53-no

للأمانة لم أقم بتجربة الأداة على جهازي ، لأنه 64 بيت ، عدى أنه لم يصب بالفيروس

و قد قمت بإعداد الشرح إعتمادا على مقال قمت بترجمته من Github للباحث الأمني Benjamin Delpy الذي طور الأداة


و حظا طيبا إن شاء الله

 
التعديل الأخير:
العفو أخي الطيب أبا فاريهان ، و أتمنى لك و لجميع الأصدقاء السلامة إن شاء الله

:kiss:
 
أعلى