Výskumník v oblasti bezpečnosti našiel spôsob, ako načítať šifrovacie kľúče, ktoré používa ransomware WannaCrypt (AKA WannaCry) bez zaplatenia výkupného vo výške 300 dolárov. To je veľké, pretože WannaCry využíva vstavané kryptografické nástroje spoločnosti Microsoft na vykonávanie svojich činností. Aj keď systém Windows XP nebol počítačovým útokom veľmi ovplyvnený, v prípade iných infekcií ransomware sa môže použiť nasledujúca technika.

Wcry, teraz k dispozícii v systéme Windows XP

Tento nástroj sa nazýva Wcry a vytiahne kľúč priamo z pamäte postihnutého systému. Toto riešenie je v súčasnosti k dispozícii pre systém Windows XP a to iba vtedy, keď nebol daný počítač reštartovaný alebo bola prepísaná jeho pamäť.

Wcry vyvinula francúzska výskumníčka Adrien Guinet, ktorá riešenie zverejnila na serveri GitHub zadarmo.

Ako to funguje

Podľa spoločnosti Guinet bol softvér testovaný iba v systéme Windows XP a funguje perfektne. Poznámka nachádzajúca sa vedľa aplikácie tiež uvádza, že „ aby počítač nemohol fungovať, po infikovaní nesmie byť reštartovaný. Upozorňujeme, že na to, aby to fungovalo, potrebujete šťastie (pozri nižšie), a preto nemusí fungovať v každom prípade!"

V systéme Windows XP existuje chyba, ktorá bráni vymazaniu kľúčov z pamäte a táto chyba v novších operačných systémoch chýba. Je dôležité, aby prvočísla boli stále v pamäti.

Guinet hovorí, že:

Tento softvér umožňuje získať prvotné čísla súkromného kľúča RSA, ktoré používa spoločnosť Wanacry. Robí to tak, že ich vyhľadá v procese wcry.exe. Toto je proces, ktorý generuje súkromný kľúč RSA. Hlavným problémom je, že CryptDestroyKey a CryptReleaseContext nevymažú prvočísla z pamäte skôr, ako uvoľnia pridruženú pamäť.

Keďže tento nástroj môžete použiť na ďalšie infekcie ransomware, bude veľmi užitočný pri poskytovaní technickej podpory.