En sikkerhetsforsker fant en måte å hente krypteringsnøklene som ble brukt av WannaCrypt (AKA WannaCry) ransomware uten å betale løsepenger på $ 300. Dette er stort fordi WannaCry bruker Microsofts innebygde kryptografiske verktøy for å gjøre det den trenger å gjøre. Selv om Windows XP ikke ble mye berørt av cyberangrepet, kan følgende teknikk bli brukt i tilfelle andre ransomware-infeksjoner.

Wcry, nå tilgjengelig på Windows XP

Verktøyet kalles Wcry og det plukker nøkkelen rett ut av det berørte systemets minne. Denne løsningen er for øyeblikket tilgjengelig for Windows XP, og bare når den aktuelle PCen ikke har blitt startet på nytt eller hvis minnet er overskrevet.

Wcry ble utviklet av Adrien Guinet, en fransk forsker, som la løsningen gratis på GitHub.

Hvordan det fungerer

I følge Guinet er programvaren bare testet under Windows XP, og den kjører perfekt. Merknaden som du finner ved siden av appen lyder også at “ datamaskinen må ikke ha blitt startet på nytt etter å ha blitt smittet for å fungere. Vær også oppmerksom på at du trenger litt hell for at dette skal fungere (se nedenfor), og at det kanskje ikke fungerer i alle tilfeller! ”

I Windows XP er det en feil som forhindrer sletting av tastene fra minnet, og denne feilen mangler fra nyere operativsystemer. Det er viktig at primtallene fremdeles er i minnet.

Guinet sier at:

Denne programvaren gjør det mulig å gjenopprette primtallene til den private RSA-nøkkelen som brukes av Wanacry. Det gjør du ved å søke etter dem i wcry.exe-prosessen. Dette er prosessen som genererer RSAs private nøkkel. Hovedproblemet er at CryptDestroyKey og CryptReleaseContext ikke sletter primtallene fra minnet før du frigjør det tilknyttede minnet.

Ettersom du kan bruke verktøyet for mer ransomware-infeksjoner, vil det vise seg å være veldig nyttig for å gi teknisk support.