S-a dezvoltat un instrument de decriptare a ransomware gratuit, dar limitat pentru Windows XP

Un cercetător în securitate a găsit o modalitate de a prelua cheile de criptare utilizate de ransomware-ul Wannacrypt fără a fi nevoit să plătească răscumpărarea de 300 USD.

Aplicația sa, WCry, scoate cheia direct din memoria unui sistem afectat, dar soluția este disponibilă doar pe Windows XP și dacă computerul nu a fost încă repornit sau memoria nu a fost suprascrisă, de exemplu. în circumstanțe foarte specifice și oarecum improbabile.

WCry a fost dezvoltat de Adrien Guinet, un cercetător al Quarkslab din Franța, și postat gratuit pe GitHub.

„Acest software a fost testat și se știe că funcționează doar sub Windows XP”, a scris el într-o notă readme care însoțește aplicația sa, pe care o numește Wannakey. „Pentru a funcționa, computerul dumneavoastră nu trebuie să fi fost repornit după ce a fost infectat. Vă rugăm să rețineți, de asemenea, că aveți nevoie de puțin noroc pentru ca acest lucru să funcționeze (vezi mai jos), așa că s-ar putea să nu funcționeze în toate cazurile!”

WannaCry folosește instrumentele criptografice încorporate ale Microsoft pentru a-și face treaba murdară, iar în Windows XP există un defect care împiedică ștergerea cheilor din memorie care nu este prezentă pe versiunile mai recente ale sistemului de operare.

„Dacă aveți noroc (adică memoria asociată nu a fost realocată și ștearsă), aceste numere prime ar putea fi încă în memorie”, a scris Guinet.

Din fericire sau din păcate pentru utilizatori, Windows XP nu a fost de fapt afectat pe scară largă de WannaCrypt, deoarece malware-ul nu a funcționat corect pe acel sistem de operare. Tehnica poate fi, totuși, aplicabilă altor infecții cu ransomware și ar fi un instrument util în trusa membrului geek al familiei care tinde să ofere suport tehnic întregului clan.

Codul poate fi găsit pe Github aici.