ابزار رمزگشایی باج افزار رایگان اما محدود برای ویندوز XP توسعه یافته است

یک محقق امنیتی راهی برای بازیابی کلیدهای رمزگذاری استفاده شده توسط باج افزار Wannacrypt بدون پرداخت باج 300 دلاری پیدا کرده است.

برنامه او، WCry، کلید را مستقیماً از حافظه یک سیستم آسیب دیده حذف می کند، اما راه حل فقط در ویندوز XP موجود است، و اگر رایانه شخصی هنوز راه اندازی مجدد نشده باشد یا حافظه بازنویسی نشده باشد، یعنی. در شرایط بسیار خاص و تا حدودی بعید.

WCry توسط Adrien Guinet، محققی از Quarkslab مستقر در فرانسه، توسعه یافته است و به صورت رایگان در GitHub پست شده است.

او در یادداشت readme همراه با برنامه خود که Wannakey می نامد، نوشت: «این نرم افزار فقط آزمایش شده و شناخته شده است که تحت ویندوز XP کار می کند. برای کار کردن، کامپیوتر شما نباید پس از آلوده شدن دوباره راه اندازی شده باشد. لطفاً همچنین توجه داشته باشید که برای این کار به شانس نیاز دارید (پایین را ببینید) و بنابراین ممکن است در هر موردی کار نکند!

WannaCry از ابزارهای رمزنگاری داخلی مایکروسافت برای انجام کارهای کثیف خود استفاده می کند، و در ویندوز XP نقصی وجود دارد که مانع از پاک شدن کلیدها از حافظه می شود که در نسخه های جدیدتر سیستم عامل وجود ندارد.

گینه نوشت: «اگر خوش شانس باشید (یعنی حافظه مرتبط دوباره تخصیص و پاک نشده است)، این اعداد اول ممکن است همچنان در حافظه باشند.

خوشبختانه یا متأسفانه برای کاربران، ویندوز XP در واقع به طور گسترده تحت تأثیر WannaCrypt قرار نگرفت، زیرا بدافزار به درستی روی آن سیستم عامل کار نمی کرد. با این حال، این تکنیک ممکن است برای سایر عفونت‌های باج‌افزار قابل اجرا باشد و ابزار مفیدی در کیت بگ اعضای خانواده گیکی است که تمایل به ارائه پشتیبانی فنی برای کل قبیله خود دارند.

کد را می توان یافت در Github اینجا.