Acum cateva zile va povesteam depre cum putem preveni infectarea sistemelor Windows cu virusul WannaCrypt Ransomware, iar astazi, la doar o saptamana de la declasarea celui mare atac cibernetic de tip ransomware, deja vorbim despre lansarea unui tool gratuit (WannaKey si WanaKiwi) pentru decriptarea fisierelor criptate cu acest tip de virus, WannaCrypt (numit si WannaCry, WanaCrypt0r, WCrypt, sau WCRY).
Conform celor de la thehackernews.com, .daca ai un calculator infectat de WannaCry exista sanse foarte mari poti decripta fiserele infectate gratuit, fara a fi nevoit sa platesti cei 300 de dolari, folosind WannaKey (doar pentru Windows XP) sau WanaKiwi (pentru Windows XP, Windows 7, Windows Vista, Windows Server 2003 si 2008),
WannaKey este dezvoltat de catre Adrien Guinet, un francez de la Quarkslab, iar WanaKiwi de catre Benjamin Delpy inspirat de catre descoperirea lui Adrien Guinet.
Descoperirea consta in faptul ca WannaCry genereaza pe calculatorul infectat o pereche de chei (una publica si una privata), chei folosite pentru criptarea si decriptarea fisierelor. Insa aceste chei sunt sterse imediat dupa criptare informatiilor.
Insa partea interesanta descoperita de catre Adrien Guinet este faptul ca in memoria sistemului aceste chei raman ca numere prime.
“It does so by searching for them in the wcry.exe process. This is the process that generates the RSA private key. The main issue is that the CryptDestroyKey and CryptReleaseContext does not erase the prime numbers from memory before freeing the associated memory.“
Conditia principala ca tool-ul sa functioneze este ca dupa infectare sa NU inchideti calculatorul. Descarcati WanaKiwi si executati urmatoarea comanda din cmd:
wanakiwi.exe <PID>
Inlocuiti PID (Process ID) cu numarul procesului generat de aplicatia de criptare WannaCry (wnry.exe sau wcry.exe) . Vezi mai multe informatii aici, iar mai jos o demostratie.