阻击勒索病毒新突破：有被锁XP系统已经被解密

5月19日，WannaCry勒索病毒阻击战取得新突破，被锁用户有望实现解密。腾讯安全反毒实验室通过官方微博发布，在此前公开解密线索基础上，腾讯安全反病毒实验室做了进一步研究并发布XP解密工具，Windows XP 系统用户遭到“想哭”勒索病毒感染后，在没有重启电脑的前提下，通过该工具可以大概率成功解密，解密恢复成功率是其他文件恢复工具的几倍。同时，腾讯安全反病毒实验室表示正在对影响更大的WIN7系统解密进行研究。

阻击勒索病毒新突破：有被锁XP系统已经被解密

腾讯安全反病毒实验室负责人马劲松表示，关于Windows XP 系统解锁的研究，此前已有安全同行发表了进展，Adrien Guinet首先发现了在XP环境某些条件下，使用CryptDestroyKey和CryptReleaseContext时不会将生成的RSA密钥从内存中销毁，通过搜索目标进程内存的方式，可以搜索到RSA密钥的某些痕迹，但其没有对解密结果进行广泛验证。

在Adrien Guinet提供的代码的基础上，腾讯反病毒实验室根据这几天对样本的分析结果以及以前的技术积累，修改了其中一些关键的问题，使得从搜索到的结果可以提取到文件解密所需的RSA私钥，进而解密XP系统下的受害文件。这一研究成功的公布，或将给行业抗击勒索病毒、以及下一波攻击带来启示。