Turvallisuustutkija löysi tavan hakea WannaCrypt (AKA WannaCry) lunastusohjelman käyttämät salausavaimet maksamatta 300 dollarin lunnaita. Tämä on suuri, koska WannaCry käyttää Microsoftin sisäänrakennettuja salausvälineitä tehdäkseen tarvittavan. Vaikka tietohyökkäys ei vaikuttanut laajalti Windows XP: hen, seuraavaa tekniikkaa voidaan käyttää muissa ransomware-tartunnoissa.

Wcry, nyt saatavana Windows XP: ssä

Työkalun nimi on Wcry, ja se irrottaa avaimen suoraan kyseisen järjestelmän muistista. Tämä ratkaisu on tällä hetkellä saatavana Windows XP: lle ja vain, kun kyseistä tietokonetta ei ole käynnistetty uudelleen tai sen muisti on kirjoitettu.

Wcryn kehitti ranskalainen tutkija Adrien Guinet, joka lähetti ratkaisun GitHubiin ilmaiseksi.

Kuinka se toimii

Guinetin mukaan ohjelmisto on testattu vain Windows XP: ssä ja se toimii täydellisesti. Sovelluksen vieressä olevassa huomautuksessa lukee myös, että ” tietokoneesi ei tarvitse olla käynnistynyt uudelleen viruksen saastumisen jälkeen, jotta se voi toimia. Huomaa myös, että tarvitset jonkin verran onnea, jotta se toimii (katso alla), joten se ei välttämättä toimi kaikissa tapauksissa! ”

Windows XP: ssä on virhe, joka estää näppäinten poistamisen muistista, ja tätä puutetta puuttuu uudemmista käyttöjärjestelmistä. On tärkeää, että alkuluvut ovat edelleen muistissa.

Guinet sanoo, että:

Tämän ohjelmiston avulla voidaan palauttaa WSA: n käyttämät RSA-yksityisen avaimen alkuluvut. Se tekee niin etsimällä niitä wcry.exe-prosessissa. Tämä prosessi generoi RSA-yksityisen avaimen. Pääasia on, että CryptDestroyKey ja CryptReleaseContext eivät poista alkunumeroita muistista ennen liittyvän muistin vapauttamista.

Koska voit käyttää työkalua useampaan lunaohjelmistoinfektioon, se osoittautuu erittäin hyödylliseksi teknisen tuen tarjoamisessa.