Badacz bezpieczeństwa znalazł sposób na odzyskanie kluczy szyfrujących używanych przez ransomware WannaCrypt (AKA WannaCry) bez płacenia okupu w wysokości 300 $. Jest to duże, ponieważ WannaCry używa wbudowanych narzędzi kryptograficznych firmy Microsoft, aby robić to, co musi. Podczas gdy system Windows XP nie został w znacznym stopniu dotknięty cyberatakiem, w przypadku innych infekcji ransomware można zastosować następującą technikę.
Wcry, teraz dostępne w systemie Windows XP
Nazywa się to narzędziem Wcry i wyciąga klucz bezpośrednio z pamięci systemu, którego dotyczy problem. To rozwiązanie jest obecnie dostępne dla systemu Windows XP i tylko wtedy, gdy dany komputer nie został ponownie uruchomiony lub jego pamięć nie została nadpisana.
Wcry zostało opracowane przez Adriena Guineta, francuskiego badacza, który bezpłatnie opublikował rozwiązanie na GitHub.
Jak to działa
Według Guineta oprogramowanie było testowane tylko pod Windows XP i działa doskonale. Notatka obok aplikacji zawiera również informację, że „aby działał, komputer nie mógł zostać ponownie uruchomiony po zainfekowaniu. Pamiętaj również, że potrzebujesz szczęścia, aby to zadziałało (patrz poniżej), więc może nie działać w każdym przypadku!”
W systemie Windows XP występuje usterka uniemożliwiająca wymazanie kluczy z pamięci, której brakuje w nowszych systemach operacyjnych. Ważne jest, aby liczby pierwsze nadal były w pamięci.
Guinet mówi, że:
To oprogramowanie pozwala odzyskać liczby pierwsze klucza prywatnego RSA, które są używane przez Wanacry. Robi to, wyszukując je w procesie wcry.exe. To jest proces, który generuje klucz prywatny RSA. Głównym problemem jest to, że CryptDestroyKey i CryptReleaseContext nie usuwają liczb pierwszych z pamięci przed zwolnieniem skojarzonej pamięci.
Ponieważ możesz używać tego narzędzia do większej liczby infekcji ransomware, okaże się ono bardzo przydatne w zapewnianiu wsparcia technicznego.
POWIĄZANE HISTORIE DO SPRAWDZENIA:
- Twórcy WannaCry grożą, że wypuszczą więcej złośliwego oprogramowania na Windows 10
- Adylkuzz, kolejny cyberatak na Windowsa na dużą skalę, jest podobno w drodze
- Jak zachować bezpieczeństwo w Internecie po atakach WannaCrypt
- Bezpieczeństwo cybernetyczne
- Oprogramowanie ransomware