Výzkumník v oblasti bezpečnosti našel způsob, jak načíst šifrovací klíče používané ransomwarem WannaCrypt (AKA WannaCry), aniž by zaplatil výkupné ve výši 300 $. To je velké, protože WannaCry používá vestavěné kryptografické nástroje společnosti Microsoft k tomu, co potřebuje. Zatímco systém Windows XP nebyl kybernetickým útokem široce ovlivněn, v případě jiných infekcí ransomware lze použít následující techniku.

Wcry, nyní k dispozici v systému Windows XP

Tento nástroj se nazývá Wcry a vytáhne klíč přímo z paměti postiženého systému. Toto řešení je aktuálně k dispozici pro Windows XP a pouze v případě, že dotyčný počítač nebyl restartován nebo přepsána jeho paměť.

Wcry vyvinul francouzský vědec Adrien Guinet, který řešení zveřejnil zdarma na GitHubu.

Jak to funguje

Podle společnosti Guinet byl tento software testován pouze ve Windows XP a funguje perfektně. Poznámka nalezená vedle aplikace také uvádí, že „ aby počítač nemohl fungovat, po infikování nesmí být restartován. Vezměte prosím na vědomí, že pro to, aby to fungovalo, potřebujete štěstí (viz níže), takže nemusí fungovat v každém případě! “

V systému Windows XP existuje chyba, která zabraňuje vymazání klíčů z paměti, a tato chyba chybí u novějších operačních systémů. Je důležité, aby prvočísla byla stále v paměti.

Guinet říká, že:

Tento software umožňuje obnovit prvočísla soukromého klíče RSA, které používá společnost Wanacry. To se provádí jejich vyhledáním v procesu wcry.exe. Toto je proces, který generuje soukromý klíč RSA. Hlavním problémem je, že CryptDestroyKey a CryptReleaseContext nevymaže prvočísla z paměti před uvolněním přidružené paměti.

Protože tento nástroj můžete použít pro více infekcí ransomware, bude pro poskytování technické podpory velmi užitečný.