Um pesquisador de segurança encontrou uma maneira de recuperar as chaves de criptografia usadas pelo ransomware WannaCrypt (AKA WannaCry) sem pagar o resgate de US $ 300. Isso é grande porque o WannaCry usa as ferramentas criptográficas da Microsoft para fazer o que precisa. Embora o Windows XP não tenha sido amplamente afetado pelo ataque cibernético, a técnica a seguir pode ser aplicada no caso de outras infecções por ransomware.

Wcry, agora disponível no Windows XP

A ferramenta é chamada Wcry e retira a chave da memória do sistema afetado. Atualmente, esta solução está disponível para Windows XP e somente quando o PC em questão não foi reinicializado ou sua memória substituída.

O Wcry foi desenvolvido por Adrien Guinet, pesquisador francês, que postou a solução no GitHub gratuitamente.

Como funciona

Segundo Guinet, o software foi testado apenas no Windows XP e funciona perfeitamente. A nota encontrada ao lado do aplicativo também diz que “ para funcionar, seu computador não deve ter sido reiniciado após ter sido infectado. Observe também que você precisa de alguma sorte para que isso funcione (veja abaixo) e, portanto, pode não funcionar em todos os casos!"

No Windows XP, existe uma falha que impede o apagamento das chaves da memória e essa falha está ausente nos sistemas operacionais mais recentes. É importante que os números primos ainda estejam na memória.

Guinet diz que:

Este software permite recuperar os números primos da chave privada RSA usados ​​pelo Wanacry. Para isso, procure-os no processo wcry.exe. Este é o processo que gera a chave privada RSA. O principal problema é que o CryptDestroyKey e o CryptReleaseContext não apaga os números primos da memória antes de liberar a memória associada.

Como você pode usar a ferramenta para mais infecções por ransomware, ela será muito útil para fornecer suporte técnico.