Một nhà nghiên cứu bảo mật đã tìm ra cách lấy lại các khóa mã hóa được sử dụng bởi ransomware WannaCrypt (AKA WannaCry) mà không phải trả khoản tiền chuộc 300 đô la. Điều này là rất lớn vì WannaCry sử dụng các công cụ mã hóa tích hợp của Microsoft để làm những gì nó cần làm. Mặc dù Windows XP không bị ảnh hưởng rộng rãi bởi cuộc tấn công mạng, nhưng kỹ thuật sau đây có thể được áp dụng trong trường hợp nhiễm ransomware khác.

Wcry, hiện đã có trên Windows XP

Công cụ này được gọi là Wcry và nó lấy chìa khóa ra khỏi bộ nhớ của hệ thống bị ảnh hưởng. Giải pháp này hiện có sẵn cho Windows XP và chỉ khi PC được đề cập chưa được khởi động lại hoặc bộ nhớ của nó bị ghi đè.

Wcry được phát triển bởi Adrien Guinet, một nhà nghiên cứu người Pháp, người đã đăng tải giải pháp này trên GitHub miễn phí.

Làm thế nào nó hoạt động

Theo Guinet, phần mềm chỉ mới được thử nghiệm trong Windows XP và nó chạy hoàn hảo. Ghi chú được tìm thấy bên cạnh ứng dụng cũng đọc rằng, để hoạt động, máy tính của bạn không được khởi động lại sau khi bị nhiễm. Cũng xin lưu ý rằng bạn cần một chút may mắn để làm việc này (xem bên dưới), và vì vậy nó có thể không hoạt động trong mọi trường hợp! Giáo dục

Trong Windows XP, có một lỗ hổng ngăn chặn việc xóa các phím khỏi bộ nhớ và lỗ hổng này thiếu từ các hệ điều hành mới hơn. Điều quan trọng là các số nguyên tố vẫn còn trong bộ nhớ.

Guinet nói rằng:

Phần mềm này cho phép khôi phục các số nguyên tố của khóa riêng RSA được Wanacry sử dụng. Nó làm như vậy bằng cách tìm kiếm chúng trong quá trình wcry.exe. Đây là quá trình tạo khóa riêng RSA. Vấn đề chính là CryptDestroyKey và CryptReleaseContext không xóa các số nguyên tố khỏi bộ nhớ trước khi giải phóng bộ nhớ liên quan.

Khi bạn có thể sử dụng công cụ này để lây nhiễm ransomware nhiều hơn, nó sẽ chứng minh là rất hữu ích cho việc cung cấp hỗ trợ kỹ thuật.