Αναπτύχθηκε δωρεάν αλλά περιορισμένο εργαλείο αποκρυπτογράφησης ransomware για Windows XP

Ένας ερευνητής ασφαλείας βρήκε έναν τρόπο για να ανακτήσει τα κλειδιά κρυπτογράφησης που χρησιμοποιούνται από το Wannacrypt ransomware χωρίς να χρειάζεται να πληρώσει τα 300 $ λύτρα.

Η εφαρμογή του, WCry, αφαιρεί το κλειδί απευθείας από τη μνήμη ενός επηρεαζόμενου συστήματος, αλλά η λύση είναι διαθέσιμη μόνο στα Windows XP και εάν ο υπολογιστής δεν έχει επανεκκινηθεί ακόμα ή δεν έχει αντικατασταθεί η μνήμη, π.χ. σε πολύ συγκεκριμένες και κάπως απίθανες περιστάσεις.

Το WCry αναπτύχθηκε από τον Adrien Guinet, ερευνητή της Quarkslab με έδρα τη Γαλλία, και δημοσιεύτηκε δωρεάν στο GitHub.

«Αυτό το λογισμικό έχει δοκιμαστεί και είναι γνωστό ότι λειτουργεί μόνο με Windows XP», έγραψε σε ένα σημείωμα readme που συνόδευε την εφαρμογή του, την οποία αποκαλεί Wannakey. «Για να λειτουργήσει, δεν πρέπει να έχει γίνει επανεκκίνηση του υπολογιστή σας μετά τη μόλυνση. Σημειώστε επίσης ότι χρειάζεστε λίγη τύχη για να λειτουργήσει αυτό (δείτε παρακάτω) και έτσι μπορεί να μην λειτουργεί σε κάθε περίπτωση!».

Το WannaCry χρησιμοποιεί τα ενσωματωμένα κρυπτογραφικά εργαλεία της Microsoft για να κάνει τη βρώμικη δουλειά της και στα Windows XP υπάρχει ένα ελάττωμα που εμποδίζει τη διαγραφή των κλειδιών από τη μνήμη, κάτι που δεν υπάρχει σε πιο πρόσφατες εκδόσεις του λειτουργικού συστήματος.

"Εάν είστε τυχεροί (δηλαδή η συσχετισμένη μνήμη δεν έχει ανακατανεμηθεί και διαγραφεί), αυτοί οι πρώτοι αριθμοί μπορεί να είναι ακόμα στη μνήμη", έγραψε ο Guinet.

Ευτυχώς ή δυστυχώς για τους χρήστες, τα Windows XP στην πραγματικότητα δεν επηρεάστηκαν ευρέως από το WannaCrypt, καθώς το κακόβουλο λογισμικό δεν λειτουργούσε σωστά σε αυτό το λειτουργικό σύστημα. Η τεχνική, ωστόσο, μπορεί να είναι εφαρμόσιμη σε άλλες μολύνσεις ransomware και θα ήταν ένα χρήσιμο εργαλείο στο κιτ τσάντα του geeky μέλους της οικογένειας που τείνει να παρέχει τεχνική υποστήριξη για ολόκληρη τη φυλή τους.

Μπορείτε να βρείτε τον κωδικό στο Github εδώ.