Розроблено безкоштовний, але обмежений інструмент розшифровки програм-вимагачів для Windows XP

Дослідник безпеки знайшов спосіб отримати ключі шифрування, які використовується програмою-вимагачем Wannacrypt, не сплачуючи 300 доларів США.

Його програма WCry витягує ключ прямо з пам’яті ураженої системи, але рішення доступне лише в Windows XP, і якщо комп’ютер ще не перезавантажено або пам’ять не перезаписана, тобто. за дуже конкретних і дещо малоймовірних обставин.

WCry був розроблений Адрієном Гіне, дослідником з французької Quarkslab, і опублікований на GitHub безкоштовно.

«Це програмне забезпечення було перевірено і, як відомо, працює лише під Windows XP», — написав він у примітці readme, що супроводжує свою програму, яку він називає Wannakey. «Щоб працювати, ваш комп’ютер не повинен бути перезавантажений після зараження. Також зверніть увагу, що вам потрібна удача, щоб це спрацювало (дивіться нижче), і тому це може спрацювати не в кожному випадку!»

WannaCry використовує вбудовані криптографічні інструменти Microsoft для виконання своєї брудної роботи, а в Windows XP є недолік, який запобігає стиранню ключів з пам'яті, якого немає в останніх версіях ОС.

«Якщо вам пощастить (тобто пов’язана пам’ять не була перерозподілена та не стерта), ці прості числа можуть все ще залишатися в пам’яті», – написав Гіне.

На щастя чи на жаль для користувачів, WannaCrypt насправді не вплинув на Windows XP, оскільки зловмисне програмне забезпечення не працювало належним чином у цій операційній системі. Однак ця методика може бути застосовна до інших інфекційних програм-вимагачів і буде корисним інструментом у комплекті вигадливого члена сім’ї, який прагне надавати технічну підтримку всьому своєму клану.

Код можна знайти на Github тут.