En sikkerhedsforsker fandt en måde at hente de krypteringsnøgler, der bruges af WannaCrypt (AKA WannaCry) ransomware uden at betale løsepenge på $ 300. Dette er stort, fordi WannaCry bruger Microsofts indbyggede kryptografiske værktøjer til at gøre, hvad det skal gøre. Selvom Windows XP ikke var vidt påvirket af cyberangrebet, kan følgende teknik anvendes i tilfælde af andre ransomware-infektioner.

Wcry, nu tilgængelig på Windows XP

Værktøjet kaldes Wcry, og det plukker nøglen lige ud af det berørte systems hukommelse. Denne løsning er i øjeblikket tilgængelig til Windows XP og kun når den pågældende pc ikke er blevet genstartet eller dens hukommelse overskrevet.

Wcry blev udviklet af Adrien Guinet, en fransk forsker, der offentliggjorde løsningen på GitHub gratis.

Hvordan det virker

Ifølge Guinet er softwaren kun testet under Windows XP, og den kører perfekt. Notatet, der findes ved siden af ​​appen, lyder også, at “ for at arbejde skal din computer ikke have været genstartet efter at have været inficeret. Bemærk også, at du har brug for lidt held for at dette fungerer (se nedenfor), og det fungerer muligvis ikke i alle tilfælde! ”

I Windows XP er der en fejl, der forhindrer sletning af nøglerne fra hukommelsen, og denne fejl mangler fra nyere operativsystemer. Det er vigtigt, at primtallene stadig er i hukommelsen.

Guinet siger, at:

Denne software gør det muligt at gendanne primtalene for den RSA private nøgle, der bruges af Wanacry. Det gør det ved at søge efter dem i wcry.exe-processen. Dette er processen, der genererer den RSA private nøgle. Hovedproblemet er, at CryptDestroyKey og CryptReleaseContext ikke sletter primtalene fra hukommelsen, før den tilknyttede hukommelse frigøres.

Da du kan bruge værktøjet til flere ransomware-infektioner, vil det vise sig at være meget nyttigt at give teknisk support.