Développement d'un outil de décryptage de ransomware gratuit mais limité pour Windows XP

Un chercheur en sécurité a trouvé un moyen de récupérer les clés de chiffrement utilisées par le rançongiciel Wannacrypt sans avoir à payer la rançon de 300 $.

Son application, WCry, extrait la clé directement de la mémoire d'un système affecté, mais la solution n'est disponible que sur Windows XP, et si le PC n'a pas encore été redémarré ou si la mémoire n'a pas été écrasée, c'est-à-dire. dans des circonstances très particulières et quelque peu improbables.

WCry a été développé par Adrien Guinet, un chercheur de Quarkslab basé en France, et publié gratuitement sur GitHub.

"Ce logiciel n'a été testé et connu pour fonctionner que sous Windows XP", écrit-il dans une note readme accompagnant son application, qu'il appelle Wannakey. « Pour fonctionner, votre ordinateur ne doit pas avoir été redémarré après avoir été infecté. Veuillez également noter que vous avez besoin d'un peu de chance pour que cela fonctionne (voir ci-dessous), et cela pourrait donc ne pas fonctionner dans tous les cas !

WannaCry utilise les outils cryptographiques intégrés de Microsoft pour faire son sale boulot, et dans Windows XP, il existe une faille qui empêche l'effacement des clés de la mémoire qui n'est pas présente sur les versions plus récentes du système d'exploitation.

"Si vous avez de la chance (c'est-à-dire que la mémoire associée n'a pas été réallouée et effacée), ces nombres premiers pourraient encore être en mémoire", a écrit Guinet.

Heureusement ou malheureusement pour les utilisateurs, Windows XP n'a en fait pas été largement affecté par WannaCrypt, car le malware ne fonctionnait pas correctement sur ce système d'exploitation. La technique peut cependant être applicable à d'autres infections de rançongiciels et serait un outil utile dans le sac à dos du membre de la famille geek qui a tendance à fournir un support technique à l'ensemble de son clan.

Le code peut être trouvé sur Github ici.