Ferramenta de descriptografia de ransomware gratuita, mas limitada, desenvolvida para Windows XP

Um pesquisador de segurança encontrou uma maneira de recuperar as chaves de criptografia usadas pelo ransomware Wannacrypt sem ter que pagar o resgate de US$ 300.

Seu aplicativo, WCry, extrai a chave diretamente da memória de um sistema afetado, mas a solução está disponível apenas no Windows XP, e se o PC ainda não foi reinicializado ou a memória não foi substituída, por exemplo. em circunstâncias muito específicas e um tanto improváveis.

O WCry foi desenvolvido por Adrien Guinet, pesquisador do Quarkslab, com sede na França, e publicado no GitHub gratuitamente.

“Este software só foi testado e funciona no Windows XP”, escreveu ele em uma nota leia-me que acompanha seu aplicativo, que ele chama de Wannakey. “Para funcionar, seu computador não deve ter sido reinicializado após ser infectado. Observe também que você precisa de um pouco de sorte para que isso funcione (veja abaixo) e, portanto, pode não funcionar em todos os casos!”

O WannaCry usa as ferramentas criptográficas integradas da Microsoft para fazer seu trabalho sujo, e no Windows XP há uma falha que impede o apagamento das chaves da memória que não estão presentes nas versões mais recentes do sistema operacional.

“Se você tiver sorte (ou seja, a memória associada não foi realocada e apagada), esses números primos ainda podem estar na memória”, escreveu Guinet.

Felizmente ou infelizmente para os usuários, o Windows XP não foi de fato amplamente afetado pelo WannaCrypt, pois o malware não funcionou corretamente naquele sistema operacional. A técnica pode, no entanto, ser aplicável a outras infecções de ransomware e seria uma ferramenta útil na mochila do membro da família nerd que tende a fornecer suporte técnico para todo o clã.

O código pode ser encontrado no Github aqui.