Un cercetător de securitate a găsit o modalitate de a prelua cheile de criptare utilizate de ransomware-ul WannaCrypt (AKA WannaCry) fără a plăti răscumpărarea a 300 USD. Acest lucru este mare deoarece WannaCry folosește instrumentele criptografice încorporate Microsoft pentru a face ceea ce trebuie să facă. Deși Windows XP nu a fost afectat pe scară largă de atacul cibernetic, tehnica următoare poate fi aplicată în cazul altor infecții cu ransomware.

Wcry, acum disponibil pe Windows XP

Instrumentul se numește Wcry și scoate cheia chiar din memoria sistemului afectat. Această soluție este disponibilă în prezent pentru Windows XP și numai atunci când computerul în cauză nu a fost repornit sau dacă memoria sa a fost suprascrisă.

Wcry a fost dezvoltat de Adrien Guinet, un cercetător francez, care a postat soluția pe GitHub gratuit.

Cum functioneaza

Potrivit Guinet, software-ul a fost testat doar sub Windows XP și funcționează perfect. De asemenea, nota găsită lângă aplicație scrie că „ pentru a funcționa, computerul nu trebuie să fi fost repornit după ce a fost infectat. Vă rugăm să rețineți că aveți nevoie de puțin noroc pentru ca acest lucru să funcționeze (a se vedea mai jos) și, astfel, s-ar putea să nu funcționeze în fiecare caz! “

În Windows XP, există un defect care împiedică ștergerea tastelor din memorie și acest defect lipsește de la sisteme de operare mai noi. Este important ca numerele prime să rămână în memorie.

Guinet spune că:

Acest software permite recuperarea numerelor principale ale cheii private RSA care sunt utilizate de Wanacry. Face acest lucru prin căutarea lor în procesul wcry.exe. Acesta este procesul care generează cheia privată RSA. Problema principală este că CryptDestroyKey și CryptReleaseContext nu șterg numerele prime din memorie înainte de a elibera memoria asociată.

Deoarece puteți utiliza instrumentul pentru mai multe infecții cu ransomware, se va dovedi foarte util pentru furnizarea de suport tehnic.