Um pesquisador de segurança encontrou uma maneira de recuperar as chaves de criptografia usadas pelo ransomware WannaCrypt (também conhecido como WannaCry) sem pagar o resgate de $ 300. Isso é grande porque o WannaCry usa as ferramentas criptográficas integradas da Microsoft para fazer o que precisa ser feito. Embora o Windows XP não tenha sido amplamente afetado pelo ataque cibernético, a técnica a seguir pode ser aplicada no caso de outras infecções de ransomware.
Wcry, agora disponível no Windows XP
A ferramenta é chamada Wcry e retira a chave da memória do sistema afetado. Esta solução está atualmente disponível para Windows XP e apenas quando o PC em questão não foi reiniciado ou sua memória foi substituída.
Wcry foi desenvolvido por Adrien Guinet, um pesquisador francês, que postou a solução no GitHub gratuitamente.
Como funciona
Segundo Guinet, o software só foi testado no Windows XP e funciona perfeitamente. A nota encontrada ao lado do aplicativo também diz que “para funcionar, o computador não deve ter sido reiniciado após ser infectado. Observe também que você precisa de sorte para que isso funcione (veja abaixo), e por isso pode não funcionar em todos os casos!”
No Windows XP, existe uma falha que impede o apagamento das chaves da memória e esta falha está ausente dos sistemas operacionais mais recentes. É importante que os números primos ainda estejam na memória.
Guinet diz que:
Este software permite recuperar os números primos da chave privada RSA que são usados pelo Wanacry. Ele faz isso procurando por eles no processo wcry.exe. Este é o processo que gera a chave privada RSA. O principal problema é que CryptDestroyKey e CryptReleaseContext não apaga os números primos da memória antes de liberar a memória associada.
Como você pode usar a ferramenta para mais infecções de ransomware, ela será muito útil para fornecer suporte técnico.
HISTÓRIAS RELACIONADAS PARA VERIFICAR:
- Os criadores do WannaCry ameaçam lançar mais malware para o Windows 10
- Adylkuzz, outro ciberataque em grande escala ao Windows, está a caminho
- Como se manter seguro online após os ataques WannaCrypt
- Cíber segurança
- Ransomware