En säkerhetsforskare hittade ett sätt att hämta de krypteringsnycklar som används av WannaCrypt (AKA WannaCry) ransomware utan att betala lösen på 300 $. Detta är stort eftersom WannaCry använder Microsofts inbyggda kryptografiska verktyg för att göra vad den behöver göra. Även om Windows XP inte påverkades i stor utsträckning av cyberattacken, kan följande teknik användas för andra ransomware-infektioner.

Wcry, nu tillgängligt på Windows XP

Verktyget kallas Wcry och det sticker ut nyckeln direkt från det drabbade systemets minne. Denna lösning är för närvarande tillgänglig för Windows XP och endast när den aktuella datorn inte har startats om eller om minnet har skrivits över.

Wcry utvecklades av Adrien Guinet, en fransk forskare, som publicerade lösningen gratis på GitHub.

Hur det fungerar

Enligt Guinet har programvaran bara testats under Windows XP och den fungerar perfekt. Anteckningen som finns bredvid appen lyder också att ” för att fungera måste din dator inte ha startats om efter att ha infekterats. Observera också att du behöver lite tur för att detta ska fungera (se nedan), så att det kanske inte fungerar i alla fall! ”

I Windows XP finns det en fel som förhindrar radering av nycklarna från minnet och denna brist saknas i nyare operativsystem. Det är viktigt att primnumren fortfarande finns i minnet.

Guinet säger att:

Den här programvaran gör det möjligt att återställa primnumren på den privata nyckeln RSA som används av Wanacry. Det gör det genom att söka efter dem i wcry.exe-processen. Detta är processen som genererar RSA: s privata nyckel. Huvudfrågan är att CryptDestroyKey och CryptReleaseContext inte raderar primnumren från minnet innan det tillhörande minnet frigörs.

Eftersom du kan använda verktyget för fler ransomware-infektioner, kommer det att visa sig vara mycket användbart för att ge teknisk support.