Дослідник безпеки знайшов спосіб отримати ключі шифрування, використовувані вимагальним програмою WannaCrypt (AKA WannaCry), не сплачуючи викуп у розмірі 300 доларів. Це велике значення, оскільки WannaCry використовує вбудовані криптографічні інструменти Microsoft, щоб робити все, що потрібно робити. Хоча кібер-атака Windows XP не зазнала широкого впливу, наступна методика може бути застосована у випадку інших вірусних програм.

Wcry, тепер доступний у Windows XP

Інструмент називається Wcry, і він виймає ключ прямо з пам'яті системи. Наразі це рішення доступне для Windows XP і лише тоді, коли відповідний ПК не перезавантажений або його пам'ять перезаписана.

Wcry був розроблений Адрієн Гінет, французький дослідник, який розмістив рішення на GitHub безкоштовно.

Як це працює

За словами Guinet, програмне забезпечення було протестовано лише під Windows XP, і воно працює бездоганно. У примітці, що знаходиться поруч із додатком, також написано, що " для роботи ваш комп'ютер не повинен був перезавантажуватися після зараження. Зауважте також, що для цього вам потрібна певна удача (див. Нижче), і тому це може працювати не в кожному випадку!"

У Windows XP є недолік, який запобігає стирання ключів із пам'яті, і цього недоліку не вистачає у нових операційних систем. Важливо, щоб прості числа залишалися в пам'яті.

Гінет каже, що:

Це програмне забезпечення дозволяє відновити прості номери приватного ключа RSA, які використовуються Wanacry. Це робиться шляхом пошуку їх у процесі wcry.exe. Це процес, який генерує приватний ключ RSA. Основне питання полягає в тому, що CryptDestroyKey і CryptReleaseContext не стирають прості номери з пам'яті, перш ніж звільнити пов'язану пам'ять.

Оскільки ви можете використовувати інструмент для більшої кількості заражених вірусом програм, він виявиться дуже корисним для надання технічної підтримки.