Исследователь безопасности нашел способ получить ключи шифрования, используемые вымогателями WannaCrypt (AKA WannaCry), не выплачивая выкуп в 300 долларов. Это очень важно, потому что WannaCry использует встроенные криптографические инструменты Microsoft, чтобы делать то, что ему нужно. Хотя кибер-атака не оказала большого влияния на Windows XP, в случае других вымогателей может быть применена следующая методика.

Wcry, теперь доступно в Windows XP

Инструмент называется Wcry и вынимает ключ прямо из памяти уязвимой системы. Это решение в настоящее время доступно для Windows XP и только в том случае, если данный компьютер не был перезагружен или его память перезаписана.

Wcry был разработан Адрианом Гине, французским исследователем, который бесплатно разместил решение на GitHub.

Как это устроено

По словам Guinet, программное обеспечение было протестировано только под Windows XP, и оно отлично работает. В записке рядом с приложением также говорится, что « для того, чтобы ваш компьютер не работал, он не должен быть перезагружен после заражения. Также обратите внимание, что вам нужно немного удачи, чтобы это сработало (см. Ниже), и поэтому это может не сработать в каждом случае! »

В Windows XP есть недостаток, который предотвращает стирание ключей из памяти, и этот недостаток отсутствует в более новых операционных системах. Важно, чтобы простые числа оставались в памяти.

Гуине говорит, что:

Это программное обеспечение позволяет восстановить простые числа закрытого ключа RSA, которые используются Wanacry. Это делается путем поиска их в процессе wcry.exe. Это процесс, который генерирует закрытый ключ RSA. Основная проблема заключается в том, что CryptDestroyKey и CryptReleaseContext не стирают простые числа из памяти перед освобождением связанной памяти.

Поскольку вы можете использовать инструмент для большего количества вымогателей, он окажется очень полезным для предоставления технической поддержки.