Istraživač sigurnosti pronašao je način da dohvati ključeve za šifriranje koje koristi WannaCrypt (AKA WannaCry) ransomware bez plaćanja otkupnine u iznosu od 300 USD. To je veliko jer WannaCry koristi Microsoftove ugrađene kriptografske alate za obavljanje onoga što treba učiniti. Iako cyber-napad nije bio pod utjecajem Windowsa XP, sljedeća se tehnika može primijeniti u slučaju drugih ransomware infekcija.

Wcry, sada je dostupan na Windows XP

Alat se zove Wcry i ključ uklanja točno iz memorije pogođenog sustava. Ovo je rješenje trenutno dostupno za Windows XP i to samo kad predmetno računalo nije ponovno pokrenuto ili je memorija prepisana.

Wcry je razvio Adrien Guinet, francuski istraživač, koji je rješenje objavio na GitHub-u besplatno.

Kako radi

Prema Guinetu, softver je testiran samo u sustavu Windows XP i radi savršeno. Bilješka koja se nalazi pored aplikacije također glasi da " da bi radilo, vaše računalo se ne smije ponovno pokrenuti nakon zaraze. Također imajte na umu da vam je za to potrebno malo sreće (vidi dolje), pa možda neće raditi u svakom slučaju! ”

U sustavu Windows XP postoji nedostatak koji sprečava brisanje ključeva iz memorije, a nedostaje mu noviji operativni sustav. Važno je da su primarni brojevi još uvijek u sjećanju.

Guinet kaže da:

Ovaj softver omogućuje vraćanje glavnih brojeva RSA privatnog ključa koji Wanacry koristi. To čini tako da ih pretražuje u procesu wcry.exe. Ovo je postupak koji generira RSA privatni ključ. Glavni je problem što CryptDestroyKey i CryptReleaseContext ne brišu glavne brojeve iz memorije prije oslobađanja pridružene memorije.

Kako možete koristiti alat za više ransomware infekcija, pokazat će se vrlo korisnim u pružanju tehničke podrške.