Drošības pētnieks atrada veidu, kā izgūt šifrēšanas atslēgas, kuras izmantoja WannaCrypt (AKA WannaCry) izpirkuma programmatūra, nemaksājot izpirkuma maksu 300 ASV dolāru apmērā. Tas ir liels, jo WannaCry izmanto Microsoft iebūvētos kriptogrāfijas rīkus, lai izdarītu to, kas tam jādara. Kaut arī kiberuzbrukums operētājsistēmu Windows XP nav plaši ietekmējis, citu ransomware infekciju gadījumā var izmantot šo paņēmienu.

Wcry, tagad pieejams operētājsistēmā Windows XP

Rīku sauc par Wcry, un tas izspiež atslēgu tieši no ietekmētās sistēmas atmiņas. Šis risinājums pašlaik ir pieejams operētājsistēmai Windows XP un tikai tad, ja attiecīgais dators nav pārstartēts vai tā atmiņa nav pārrakstīta.

Wcry izstrādāja Adrien Guinet, franču pētnieks, kurš bez maksas ievietoja risinājumu vietnē GitHub.

Kā tas strādā

Pēc Guineta teiktā, programmatūra ir pārbaudīta tikai operētājsistēmā Windows XP, un tā darbojas nevainojami. Pielikumā, kas atrodas blakus lietotnei, ir arī rakstīts: “ Lai varētu darboties, datoram pēc inficēšanās nedrīkst būt jābūt no jauna pārstartētam. Lūdzu, ņemiet vērā arī to, ka, lai tas darbotos, ir vajadzīga veiksme (skat. Zemāk), tāpēc tas, iespējams, nedarbosies katrā gadījumā! ”

Operētājsistēmā Windows XP ir kļūda, kas neļauj izdzēst taustiņus no atmiņas, un jaunākās operētājsistēmās šīs nepilnības trūkst. Ir svarīgi, lai sākotnējie skaitļi joprojām būtu atmiņā.

Gineta saka, ka:

Šī programmatūra ļauj atgūt RSA privātās atslēgas sākotnējos numurus, kurus izmanto Wanacry. Tas tiek darīts, meklējot tos wcry.exe procesā. Šis ir process, kas ģenerē RSA privāto atslēgu. Galvenā problēma ir tā, ka CryptDestroyKey un CryptReleaseContext neizdzēš sākotnējos numurus no atmiņas pirms saistītās atmiņas atbrīvošanas.

Tā kā jūs varat izmantot rīku vairāk ransomware infekciju gadījumā, tas izrādīsies ļoti noderīgs tehniskā atbalsta nodrošināšanā.