Wcry to bezpłatne narzędzie do odszyfrowywania oprogramowania ransomware dla systemu Windows XP

Badacz bezpieczeństwa znalazł sposób na odzyskanie kluczy szyfrujących używanych przez oprogramowanie ransomware WannaCrypt (AKA WannaCry) bez płacenia okupu w wysokości 300 USD. Jest to duże, ponieważ WannaCry korzysta z wbudowanych narzędzi kryptograficznych Microsoftu, aby robić to, co musi. Chociaż cyberatak nie miał dużego wpływu na system Windows XP, w przypadku innych infekcji ransomware można zastosować następującą technikę.

Wcry, teraz dostępny w systemie Windows XP

Narzędzie nazywa się Wcry i wyciąga klucz z pamięci systemu, którego dotyczy problem. To rozwiązanie jest obecnie dostępne dla systemu Windows XP i tylko wtedy, gdy komputer nie został ponownie uruchomiony lub jego pamięć została nadpisana.

Wcry został opracowany przez Adrien Guinet, francuski badacz, który opublikował rozwiązanie na GitHub za darmo.

Jak to działa

Według Guineta oprogramowanie zostało przetestowane tylko pod Windows XP i działa idealnie. Uwaga znajdująca się obok aplikacji brzmi również, że „aby działać, komputer nie może zostać ponownie uruchomiony po zainfekowaniu. Pamiętaj również, że potrzebujesz szczęścia, aby to zadziałało (patrz poniżej), więc może nie działać w każdym przypadku! ”

W systemie Windows XP występuje wada, która uniemożliwia skasowanie kluczy z pamięci, i brak nowszej wersji systemu. Ważne jest, aby liczby pierwsze były nadal w pamięci.

Guinet mówi, że:

To oprogramowanie pozwala odzyskać podstawowe liczby prywatnego klucza RSA, które są używane przez Wanacry. Robi to, wyszukując je w procesie wcry.exe. Jest to proces generujący klucz prywatny RSA. Głównym problemem jest to, że CryptDestroyKey i CryptReleaseContext nie usuwają liczb pierwszych z pamięci przed zwolnieniem powiązanej pamięci.

Ponieważ możesz użyć tego narzędzia do większej liczby infekcji ransomware, okaże się on bardzo przydatny do zapewnienia wsparcia technicznego.

Link do głównej publikacji