Для WannaCry найден WannaKey

Способ борьбы с вирусом WannaCry найден. Французский эксперт Адриен Гинье (Adrien Guinet) из компании Quarkslab нашел новый способ для получения ключей расшифровки WannaCry абсолютно бесплатно. Способ работает только в операционной системе Windows XP.

В процессе шифрования зловред WannaCry генерирует на компьютере жертвы открытый и закрытый ключи, которые служат для шифрования и расшифровки пользовательских файлов.

Чтобы предотвратить возможность получения доступа к закрытому ключу для дешифрования файлов, WannaCry стирает этот ключ из системы, поэтому у жертвы остаётся единственный выход — заплатить выкуп.

Тем не менее, была обнаружена закономерность: WannaCry не стирает простые номера ключей из памяти до момента очистки ассоциативной памяти.

Эта особенность и была использована для создания инструмента дешифрования под названием WannaKey, который пытается обнаружить две числовые комбинации, которые используются для генерации ключей шифрования из памяти.Гинье отмечает: «Приложение выполняет поиск ключей дешифрования в процессе wcry.exe, который генерирует закрытые RSA ключи. Особенность заключается в том, что CryptDestroyKey и CryptReleaseContext не стирают простые числа из памяти до освобождения ассоциативной памяти».

Это означает, что метод будет работать, только если:

• Заражённый компьютер не был перезагружен после заражения.
• Ассоциативная память не была выделена и стерта каким-либо другим процессом.

Эксперт предупреждает, что инструмент поможет, только если компьютер не перезагружался после заражения и даже в этом случае не всегда получится успешно дешифровать файлы.

Ошибка не была допущена киберпреступниками, они просто использовали Windows Crypto API.

Еще один исследователь безопасности Бенжамин Делфи (Benjamin Delpy) разработал простую в использовании программу под названием WanaKiwi. Она использует открытие Гинье, которое упрощает процесс дешифрования заблокированных WannaCry файлов.

Всем жертвам рекомендуется скачать WanaKiwi с сервиса Github и запустить на зараженных системах с помощью командной строки.

Мэтт Cebi (Matt Suche) из компании Comae Technologies уже протестировал приложение и продемонстрировал, как можно использовать WanaKiwi для дешифрования файлов. WanaKiwi работает в операционных системах Windows XP, Windows 7, Windows Vista, Windows Server 2003 и Windows Server 2008.

Хотя из-за определённых зависимостей, инструмент заработает не в каждой системе, он все же дает некоторым жертвам надежду восстановить доступ к файлам без финансовых затрат.