Un cercetător în domeniul securității a găsit o modalitate de a prelua cheile de criptare utilizate de răscumpărul WannaCrypt (AKA WannaCry) fără a plăti răscumpărarea de 300 USD. Acest lucru este important deoarece WannaCry folosește instrumentele criptografice încorporate ale Microsoft pentru a face ceea ce trebuie să facă. În timp ce Windows XP nu a fost afectat pe scară largă de atacul cibernetic, următoarea tehnică poate fi aplicată în cazul altor infecții cu ransomware.
Wcry, disponibil acum pe Windows XP
Instrumentul este numit Strigă și scoate cheia chiar din memoria sistemului afectat. Această soluție este disponibilă în prezent pentru Windows XP și numai atunci când computerul în cauză nu a fost repornit sau memoria sa a fost suprascrisă.
Wcry a fost dezvoltat de Adrien Guinet, un cercetător francez, care a postat soluția pe GitHub gratuit.
Cum functioneaza
Potrivit Guinet, software-ul a fost testat doar sub Windows XP și rulează perfect. Nota găsită lângă aplicație mai spune că „pentru a funcționa, computerul dvs. nu trebuie să fi fost repornit după ce a fost infectat. Rețineți, de asemenea, că aveți nevoie de ceva noroc pentru ca acest lucru să funcționeze (a se vedea mai jos) și, prin urmare, s-ar putea să nu funcționeze în fiecare caz!”
În Windows XP, există un defect care împiedică ștergerea tastelor din memorie și acest defect lipsește din sistemele de operare mai noi. Este important ca numerele prime să fie încă în memorie.
Guinet spune că:
Acest software permite recuperarea numerelor prime ale cheii private RSA utilizate de Wanacry. Face acest lucru căutându-le în procesul wcry.exe. Acesta este procesul care generează cheia privată RSA. Problema principală este că CryptDestroyKey și CryptReleaseContext nu șterg numerele prime din memorie înainte de a elibera memoria asociată.
Deoarece puteți utiliza instrumentul pentru mai multe infecții cu ransomware, se va dovedi a fi foarte util pentru furnizarea de asistență tehnică.
Povești corelate de verificat:
- Creatorii WannaCry amenință să lanseze mai multe programe malware pentru Windows 10
- Adylkuzz, un alt atac cibernetic la scară largă pentru Windows, se pare că este pe drum
- Cum să rămâi în siguranță online după atacurile WannaCrypt
- Securitate cibernetică
- Ransomware