פותח כלי חינמי אך מוגבל לפענוח תוכנות כופר עבור Windows XP

חוקר אבטחה מצא דרך לאחזר את מפתחות ההצפנה המשמשים את תוכנת הכופר של Wannacrypt מבלי לשלם את כופר ה-$300.

האפליקציה שלו, WCry, מוציאה את המפתח ישירות מהזיכרון של מערכת מושפעת, אבל הפתרון זמין רק ב-Windows XP, ואם המחשב האישי עדיין לא אוחל מחדש או שהזיכרון לא הוחלף, כלומר. בנסיבות מאוד ספציפיות וקצת לא סבירות.

WCry פותחה על ידי Adrien Guinet, חוקר עם Quarkslab שבסיסה בצרפת, ופורסם ב- GitHub בחינם.

"התוכנה הזו נבדקה וידוע שהיא פועלת רק תחת Windows XP", הוא כתב בהערת readme שנלווית לאפליקציה שלו, שאותה הוא מכנה Wannakey. "כדי לעבוד, המחשב שלך לא חייב להיות מופעל מחדש לאחר שנדבק. שים לב גם שאתה צריך קצת מזל כדי שזה יעבוד (ראה להלן), ולכן ייתכן שזה לא יעבוד בכל מקרה!"

WannaCry משתמשת בכלי ההצפנה המובנים של מיקרוסופט כדי לבצע את העבודה המלוכלכת שלה, וב-Windows XP יש פגם שמונע מחיקת המפתחות מהזיכרון שאינו קיים בגרסאות עדכניות יותר של מערכת ההפעלה.

"אם יתמזל מזלכם (זהו הזיכרון המשויך לא הוקצה מחדש ונמחק), ייתכן שהמספרים הראשוניים האלה עדיין נמצאים בזיכרון", כתב גינט.

למרבה המזל או לצערם של המשתמשים, Windows XP למעשה לא הושפע באופן נרחב על ידי WannaCrypt, מכיוון שהתוכנה הזדונית לא פעלה כראוי על אותה מערכת הפעלה. עם זאת, הטכניקה עשויה להיות ישימה לזיהומים אחרים של תוכנות כופר ותהיה כלי שימושי בקיטבג של בן המשפחה החנוני שנוטה לספק תמיכה טכנית לכל השבט שלו.

את הקוד ניתן למצוא ב- Github כאן.