Varnostni raziskovalec je našel način, kako pridobiti šifrirne ključe, ki jih uporablja odkupna programska oprema WannaCrypt (AKA WannaCry), ne da bi plačal odkupnino v višini 300 dolarjev. To je veliko, ker WannaCry uporablja Microsoftova vgrajena kriptografska orodja za to, kar mora storiti. Medtem ko kibernetski napad ni močno vplival na operacijski sistem Windows XP, se lahko v primeru drugih okužb z odkupno programsko opremo uporabi naslednja tehnika.

Wcry, zdaj na voljo v operacijskem sistemu Windows XP

Orodje se imenuje Wcry in ključ izvleče iz pomnilnika prizadetega sistema. Ta rešitev je trenutno na voljo za Windows XP in samo, če zadevni računalnik ni znova zagnan ali če je njegov spomin prepisan.

Wcry je razvil Adrien Guinet, francoski raziskovalec, ki je rešitev objavil na GitHubu brezplačno.

Kako deluje

Po Guinetovih besedah ​​je bila programska oprema preizkušena le v sistemu Windows XP in deluje brezhibno. V opombi, ki jo najdete poleg aplikacije, je zapisano tudi, da " za delovanje računalnik po okužbi ne sme biti znova zagnan. Upoštevajte tudi, da za to potrebujete nekaj sreče (glejte spodaj) in tako morda ne bo delovalo v vsakem primeru! ”

V operacijskem sistemu Windows XP obstaja pomanjkljivost, ki preprečuje brisanje tipk iz pomnilnika in te pomanjkljivosti manjka v novejših operacijskih sistemih. Pomembno je, da so osnovne številke še vedno v spominu.

Guinet pravi, da:

Ta programska oprema omogoča, da si povrnete prvo število zasebnega ključa RSA, ki jih uporablja Wanacry. To stori tako, da jih poišče v procesu wcry.exe. To je postopek, ki ustvari zasebni ključ RSA. Glavna težava je, da CryptDestroyKey in CryptReleaseContext ne izbrišeta številk iz pomnilnika, preden osvobodita pripadajoči pomnilnik.

Ker lahko orodje uporabljate za več okužb z odkupno programsko opremo, se bo izkazalo za zelo koristno pri zagotavljanju tehnične podpore.