Công cụ giải mã ransomware miễn phí nhưng có giới hạn cho Windows XP được phát triển

Một nhà nghiên cứu bảo mật đã tìm ra cách lấy lại các khóa mã hóa được sử dụng bởi mã độc tống tiền Wannacrypt mà không phải trả 300 USD tiền chuộc.

Ứng dụng của anh ấy, WCry, lấy chìa khóa ra khỏi bộ nhớ của một hệ thống bị ảnh hưởng, nhưng giải pháp này chỉ khả dụng trên Windows XP và nếu PC chưa được khởi động lại hoặc bộ nhớ chưa được ghi đè. trong những trường hợp rất cụ thể và hơi khó xảy ra.

WCry được phát triển bởi Adrien Guinet, một nhà nghiên cứu của Quarkslab có trụ sở tại Pháp và được đăng tải miễn phí trên GitHub.

“Phần mềm này mới chỉ được thử nghiệm và được biết là hoạt động trên Windows XP,” anh ấy viết trong một ghi chú readme kèm theo ứng dụng của mình, mà anh ấy gọi là Wannakey. “Để có thể hoạt động, máy tính của bạn không được khởi động lại sau khi bị nhiễm virus. Cũng xin lưu ý rằng bạn cần một chút may mắn để điều này hoạt động (xem bên dưới), và vì vậy nó có thể không hoạt động trong mọi trường hợp! ”

WannaCry sử dụng các công cụ mật mã tích hợp của Microsoft để thực hiện công việc bẩn thỉu của mình và trong Windows XP có một lỗ hổng ngăn cản việc xóa các khóa khỏi bộ nhớ vốn không xuất hiện trên các phiên bản hệ điều hành mới hơn.

“Nếu bạn may mắn (đó là bộ nhớ liên quan chưa được phân bổ lại và xóa), những số nguyên tố này có thể vẫn còn trong bộ nhớ,” Guinet viết.

May mắn thay cho người dùng, Windows XP trên thực tế không bị ảnh hưởng rộng rãi bởi WannaCrypt, vì phần mềm độc hại này không hoạt động bình thường trên hệ điều hành đó. Tuy nhiên, kỹ thuật này có thể áp dụng cho các trường hợp lây nhiễm ransomware khác và sẽ là một công cụ hữu ích trong túi đồ của thành viên gia đình ngổ ngáo, những người có xu hướng cung cấp hỗ trợ công nghệ cho cả gia tộc của họ.

Mã có thể được tìm thấy trên Github tại đây.