חוקר אבטחה מצא דרך לאחזר את מפתחות ההצפנה המשמשים את תוכנת הכלי WannaCrypt (AKA WannaCry) מבלי לשלם את הכופר בסך 300 $. זה גדול מכיוון ש- WannaCry משתמשת בכלים הקריפטוגרפיים המובנים של מיקרוסופט כדי לעשות את מה שהיא צריכה לעשות. אמנם Windows XP לא הושפע באופן נרחב מהתקפת הסייבר, אך הטכניקה הבאה עשויה להיות מיושמת במקרה של זיהומים אחרים של תוכנות כופר.

Wcry, זמין כעת ב- Windows XP

הכלי נקרא Wcry והוא שולף את המפתח מהזיכרון של המערכת המושפעת. פיתרון זה זמין כעת עבור Windows XP ורק כאשר המחשב הנדון לא הופעל מחדש או שהזיכרון שלו מוחלף.

Wcry פותחה על ידי אדרין גווינט, חוקרת צרפתית, שפרסמה את הפיתרון ב- GitHub בחינם.

איך זה עובד

לפי Guinet, התוכנה נבדקה רק תחת Windows XP והיא פועלת בצורה מושלמת. בהערה שנמצאה לצד האפליקציה נכתב גם כי " כדי לעבוד, אסור שהמחשב שלך יופעל מחדש לאחר שנדבק. שימו לב כי אתם זקוקים למזל מסוים בכדי שזה יעבוד (ראו בהמשך), ולכן יתכן וזה לא יעבוד בכל מקרה!"

ב- Windows XP, יש פגם המונע את מחיקת המקשים מהזיכרון ופגם זה חסר במערכות הפעלה חדשות יותר. חשוב שהמספרים הראשוניים עדיין יהיו בזיכרון.

גווינט אומר כי:

תוכנה זו מאפשרת לשחזר את המספרים הראשוניים של המפתח הפרטי RSA המשמש את Wanacry. זה עושה זאת על ידי חיפוש אותם בתהליך wcry.exe. זהו התהליך שמייצר את המפתח הפרטי RSA. הנושא העיקרי הוא ש- CryptDestroyKey ו- CryptReleaseContext לא מוחקים את המספרים הראשוניים מהזיכרון לפני שמשחררים את הזיכרון המשויך.

מכיוון שתוכלו להשתמש בכלי ליותר זיהומים של תוכנות ransomware, יתברר שהוא מועיל מאוד לספק תמיכה טכנית.