Un investigador de seguretat va trobar una manera de recuperar les claus de xifrat utilitzades pel ransomware de WannaCrypt (AKA WannaCry) sense pagar la rescissió de 300 dòlars. Això és important perquè WannaCry utilitza les eines criptogràfiques integrades de Microsoft per fer el que ha de fer. Si bé Windows XP no es va veure afectat àmpliament pel ciberatac, es pot aplicar la següent tècnica en el cas d'altres infeccions de ransomware.

Wcry, ja disponible a Windows XP

L'eina es diu Wcry i treu la clau directament de la memòria del sistema afectada. Aquesta solució actualment està disponible per a Windows XP i només quan el PC en qüestió no ha estat reiniciat o la seva memòria es va sobreescriure.

Wcry va ser desenvolupat per Adrien Guinet, un investigador francès, que va publicar la solució a GitHub de forma gratuïta.

Com funciona

Segons Guinet, el programari només s’ha provat sota Windows XP i funciona perfectament. La nota que es troba al costat de l'aplicació també diu que " per funcionar, no s'ha d'haver reiniciat l'ordinador després d'haver estat infectat. Tingueu en compte que necessiteu una mica de sort perquè això funcioni (vegeu més avall), i per tant pot no funcionar en tots els casos! ”

A Windows XP, hi ha un defecte que impedeix esborrar les tecles de la memòria i no té sistemes operatius més nous que falten. És important que els nombres primers siguin a la memòria.

Guinet diu que:

Aquest programari permet recuperar els números principals de la clau privada RSA que Wanacry utilitza. Ho fa tot cercant-los en el procés wcry.exe. Aquest és el procés que genera la clau privada RSA. El problema principal és que CryptDestroyKey i CryptReleaseContext no esborren els números primers de la memòria abans d’alliberar la memòria associada.

Com que podeu utilitzar l'eina per obtenir més infeccions amb ransomware, es mostrarà molt útil per proporcionar suport tècnic.