Výzkumník zabezpečení našel způsob, jak získat šifrovací klíče používané ransomwarem WannaCrypt (AKA WannaCry), aniž by zaplatil výkupné 300 $. To je velké, protože WannaCry používá vestavěné kryptografické nástroje společnosti Microsoft k tomu, co potřebuje. I když Windows XP nebyl kybernetickým útokem široce ovlivněn, v případě jiných ransomwarových infekcí lze použít následující techniku.
Wcry, nyní k dispozici pro Windows XP
Nástroj se nazývá Wcry a vytrhne klíč přímo z paměti postiženého systému. Toto řešení je aktuálně k dispozici pro Windows XP a pouze v případě, že dotyčný počítač nebyl restartován nebo byla přepsána jeho paměť.
Wcry vyvinul Adrien Guinet, francouzský výzkumník, který zdarma zveřejnil řešení na GitHubu.
Jak to funguje
Podle Guineta byl software testován pouze pod Windows XP a funguje perfektně. Poznámka nalezená vedle aplikace také zní, že „aby mohl počítač fungovat, nesmí být po infikování restartován. Vezměte prosím také na vědomí, že potřebujete trochu štěstí, aby to fungovalo (viz níže), a proto to nemusí fungovat ve všech případech!“
V systému Windows XP existuje chyba, která brání vymazání klíčů z paměti, a tato chyba chybí u novějších operačních systémů. Je důležité, aby prvočísla byla stále v paměti.
Guinet říká, že:
Tento software umožňuje obnovit prvočísla soukromého klíče RSA, která používá Wanacry. Dělá to tak, že je vyhledá v procesu wcry.exe. Toto je proces, který generuje soukromý klíč RSA. Hlavním problémem je, že CryptDestroyKey a CryptReleaseContext nevymaže prvočísla z paměti před uvolněním přidružené paměti.
Protože můžete tento nástroj použít pro další infekce ransomwarem, osvědčí se jako velmi užitečný pro poskytování technické podpory.
SOUVISEJÍCÍ PŘÍBĚHY K ODHLÁŠENÍ:
- Tvůrci WannaCry hrozí vydáním dalšího malwaru do Windows 10
- Adylkuzz, další rozsáhlý kybernetický útok na Windows, je údajně na cestě
- Jak zůstat v bezpečí online po útocích WannaCrypt
- Kybernetická bezpečnost
- Ransomware