Un ricercatore di sicurezza ha trovato un modo per recuperare le chiavi di crittografia utilizzate dal ransomware WannaCrypt (AKA WannaCry) senza pagare il riscatto di $ 300. Questo è grande perché WannaCry utilizza gli strumenti crittografici integrati di Microsoft per fare ciò che deve fare. Sebbene Windows XP non sia stato ampiamente influenzato dall'attacco informatico, la seguente tecnica può essere applicata in caso di altre infezioni da ransomware.

Wcry, ora disponibile su Windows XP

Lo strumento si chiama Wcry e estrae la chiave dalla memoria del sistema interessato. Questa soluzione è attualmente disponibile per Windows XP e solo quando il PC in questione non è stato riavviato o la sua memoria sovrascritta.

Wcry è stato sviluppato da Adrien Guinet, un ricercatore francese, che ha pubblicato la soluzione su GitHub gratuitamente.

Come funziona

Secondo Guinet, il software è stato testato solo su Windows XP e funziona perfettamente. La nota trovata accanto all'app dice inoltre che “ per funzionare, il tuo computer non deve essere stato riavviato dopo essere stato infettato. Ti preghiamo inoltre di notare che hai bisogno di un po 'di fortuna per farlo funzionare (vedi sotto), e quindi potrebbe non funzionare in tutti i casi! ”

In Windows XP, esiste un difetto che impedisce la cancellazione delle chiavi dalla memoria e questo difetto manca nei sistemi operativi più recenti. È importante che i numeri primi siano ancora nella memoria.

Guinet afferma che:

Questo software consente di recuperare i numeri primi della chiave privata RSA utilizzata da Wanacry. Lo fa cercandoli nel processo wcry.exe. Questo è il processo che genera la chiave privata RSA. Il problema principale è che CryptDestroyKey e CryptReleaseContext non cancellano i numeri primi dalla memoria prima di liberare la memoria associata.

Poiché è possibile utilizzare lo strumento per ulteriori infezioni da ransomware, si rivelerà molto utile per fornire supporto tecnico.