Egy biztonsági kutató talált módot a WannaCrypt (AKA WannaCry) ransomware által használt titkosítási kulcsok beolvasására anélkül, hogy 300 dolláros váltságdíjat fizetne. Ez nagy, mert a WannaCry a Microsoft beépített kriptográfiai eszközeit használja annak elvégzéséhez, amit meg kell tennie. Míg a számítógépes támadás nem érintette széles körben a Windows XP-t, a következő módszer alkalmazható más ransomware fertőzések esetén.

Wcry, már elérhető a Windows XP rendszeren

Az eszköz neve Wcry, és kiveszi a kulcsot az érintett rendszer memóriájából. Ez a megoldás jelenleg Windows XP esetén érhető el, és csak akkor, ha a kérdéses számítógépet nem indították újra, vagy a memóriáját felülírták.

A Wcry-t Adrien Guinet, egy francia kutató fejlesztette ki, aki ingyenesen közzétette a megoldást a GitHub-ra.

Hogyan működik

Guinet szerint a szoftvert csak a Windows XP alatt tesztelték és tökéletesen fut. Az alkalmazás melletti megjegyzés azt is kimondja, hogy „ a működéshez a számítógépet nem szabad újraindítani a fertőzés után. Felhívjuk figyelmét arra is, hogy ehhez valamilyen szerencsére van szüksége, hogy működjön (lásd lent), ezért előfordulhat, hogy nem minden esetben működik! ”

A Windows XP rendszerben van egy hiba, amely megakadályozza a kulcsok törlését a memóriából, és ez a hiba hiányzik az újabb operációs rendszerekről. Fontos, hogy a prímszámok továbbra is a memóriában legyenek.

Guinet szerint:

Ez a szoftver lehetővé teszi az RSA magánkulcs prímszámának helyreállítását, amelyeket a Wanacry használ. Ez úgy történik, hogy megkeresi őket a wcry.exe folyamatban. Ez az eljárás generálja az RSA privát kulcsot. A fő kérdés az, hogy a CryptDestroyKey és a CryptReleaseContext nem törli az elsődleges számokat a memóriából, mielőtt felszabadítja a kapcsolódó memóriát.

Mivel az eszközt több ransomware fertőzéshez is felhasználhatja, nagyon hasznosnak bizonyul technikai támogatás nyújtásában.