Opracowano bezpłatne, ale ograniczone narzędzie do deszyfrowania oprogramowania ransomware dla systemu Windows XP

Badacz bezpieczeństwa znalazł sposób na odzyskanie kluczy szyfrowania używanych przez oprogramowanie ransomware Wannacrypt bez konieczności płacenia okupu w wysokości 300 USD.

Jego aplikacja, WCry, wyciąga klucz bezpośrednio z pamięci systemu, którego dotyczy problem, ale rozwiązanie jest dostępne tylko w systemie Windows XP i jeśli komputer nie został jeszcze uruchomiony ponownie lub pamięć nie została nadpisana. w bardzo konkretnych i nieco nieprawdopodobnych okolicznościach.

WCry został opracowany przez Adriena Guineta, badacza z francuskiej firmy Quarkslab, i udostępniony na GitHub za darmo.

„To oprogramowanie zostało przetestowane i działa tylko w systemie Windows XP”, napisał w notatce readme dołączonej do jego aplikacji, którą nazywa Wannakey. „Aby działać, Twój komputer nie może zostać ponownie uruchomiony po zainfekowaniu. Pamiętaj również, że potrzebujesz trochę szczęścia, aby to zadziałało (patrz poniżej), a więc może nie zadziałać w każdym przypadku!”

WannaCry wykorzystuje wbudowane narzędzia kryptograficzne Microsoftu do wykonywania swojej brudnej roboty, aw systemie Windows XP występuje usterka, która uniemożliwia wymazanie kluczy z pamięci, czego nie ma w nowszych wersjach systemu operacyjnego.

„Jeśli masz szczęście (to znaczy, że powiązana pamięć nie została ponownie przydzielona i wymazana), te liczby pierwsze mogą nadal znajdować się w pamięci” – napisał Guinet.

Na szczęście lub niestety dla użytkowników, WannaCrypt nie miał dużego wpływu na Windows XP, ponieważ złośliwe oprogramowanie nie działało poprawnie w tym systemie operacyjnym. Technika ta może jednak mieć zastosowanie do innych infekcji ransomware i byłaby przydatnym narzędziem w torbie geekowego członka rodziny, który ma tendencję do zapewniania wsparcia technicznego dla całego klanu.

Kod można znaleźć na Github tutaj.