En sikkerhetsforsker fant en måte å hente krypteringsnøklene som brukes av WannaCrypt (AKA WannaCry) løsepenger uten å betale løsepenger på $ 300. Dette er stort fordi WannaCry bruker Microsofts innebygde kryptografiske verktøy for å gjøre det de trenger å gjøre. Selv om Windows XP ikke ble mye berørt av nettangrepet, kan følgende teknikk brukes i tilfelle andre ransomware-infeksjoner.
Wcry, nå tilgjengelig på Windows XP
Verktøyet kalles Wcry og den plukker nøkkelen rett ut av det berørte systemets minne. Denne løsningen er for øyeblikket tilgjengelig for Windows XP, og bare når den aktuelle PC-en ikke har blitt startet på nytt eller minnet overskrevet.
Wcry ble utviklet av Adrien Guinet, en fransk forsker, som la ut løsningen gratis på GitHub.
Hvordan det fungerer
I følge Guinet er programvaren bare testet under Windows XP, og den fungerer perfekt. Notatet som ligger ved siden av appen lyder også at “for å fungere, må datamaskinen ikke ha startet på nytt etter å ha blitt smittet. Vær også oppmerksom på at du trenger litt hell for at dette skal fungere (se nedenfor), og det kan hende det ikke fungerer i alle tilfeller!”
I Windows XP er det en feil som forhindrer sletting av nøklene fra minnet, og denne mangelen mangler fra nyere operativsystemer. Det er viktig at primtallene fremdeles er i minnet.
Guinet sier at:
Denne programvaren gjør det mulig å gjenopprette primtallene til den private RSA-nøkkelen som brukes av Wanacry. Det gjør det ved å søke etter dem i wcry.exe-prosessen. Dette er prosessen som genererer den private RSA-nøkkelen. Hovedproblemet er at CryptDestroyKey og CryptReleaseContext ikke sletter primtallene fra minnet før de frigjør tilknyttet minne.
Ettersom du kan bruke verktøyet for flere ransomware-infeksjoner, vil det vise seg å være veldig nyttig for å gi teknisk støtte.
RELATERTE STORIER FOR Å KONTROLLERE:
- WannaCrys skaper truer med å frigjøre mer skadelig programvare til Windows 10
- Adylkuzz, en annen storstilt Windows-cyberangrep, er angivelig på vei
- Hvordan være trygg på nettet etter WannaCrypt-angrepene
- Cybersikkerhet
- Ransomware