Un ricercatore di sicurezza ha trovato un modo per recuperare le chiavi di crittografia utilizzate dal ransomware WannaCrypt (AKA WannaCry) senza pagare il riscatto di $ 300. Questo è importante perché WannaCry utilizza gli strumenti crittografici incorporati di Microsoft per fare ciò che deve fare. Sebbene Windows XP non sia stato ampiamente influenzato dall'attacco informatico, la seguente tecnica può essere applicata in caso di altre infezioni ransomware.
Wcry, ora disponibile su Windows XP
Lo strumento si chiama Wcry e strappa la chiave dalla memoria del sistema interessato. Questa soluzione è attualmente disponibile per Windows XP e solo quando il PC in questione non è stato riavviato o la sua memoria è stata sovrascritta.
Wcry è stato sviluppato da Adrien Guinet, un ricercatore francese, che ha pubblicato gratuitamente la soluzione su GitHub.
Come funziona
Secondo Guinet, il software è stato testato solo su Windows XP e funziona perfettamente. La nota trovata accanto all'app recita anche che "per funzionare, il computer non deve essere stato riavviato dopo essere stato infettato. Nota anche che hai bisogno di un po 'di fortuna perché funzioni (vedi sotto), e quindi potrebbe non funzionare in ogni caso!"
In Windows XP è presente un difetto che impedisce la cancellazione delle chiavi dalla memoria e questo difetto è assente dai sistemi operativi più recenti. È importante che i numeri primi siano ancora nella memoria.
Guinet dice che:
Questo software permette di recuperare i numeri primi della chiave privata RSA che vengono utilizzati da Wanacry. Lo fa cercandoli nel processo wcry.exe. Questo è il processo che genera la chiave privata RSA. Il problema principale è che CryptDestroyKey e CryptReleaseContext non cancellano i numeri primi dalla memoria prima di liberare la memoria associata.
Poiché è possibile utilizzare lo strumento per più infezioni da ransomware, si rivelerà molto utile per fornire supporto tecnico.
STORIE CORRELATE DA VERIFICARE:
- I creatori di WannaCry minacciano di rilasciare più malware su Windows 10
- Adylkuzz, un altro attacco informatico su larga scala per Windows, è in arrivo
- Come rimanere al sicuro online dopo gli attacchi di WannaCrypt
- Cybersecurity
- Ransomware