Adrien Guinet, ricercatore francese di Quarkslab, ha scoperto il modo di recuperare la chiave di cifratura segreta del ransomware Wannacry, e sembra che funzioni su Windowx XP, Windows 7, Windows Vista, Windows Server 2003 e 2008.
Lo schema di cifratura di WannaCry lavora generando sul pc della vittima due chiavi, una chiave “pubblica” ed una “privata”.
Per impedire che la vittima abbia accesso alla chiave privata e decripti il file in maniera autonoma, WannaCry cancella la chiave dal sistema non lasciando alcun modo alla vittima di recuperarla a meno che non venga pagato il riscatto.
Ma ecco la piacevole sorpresa: WannaCry “non cancella i primi numeri della chiave dalla memoria fino a che essa non venga liberata”, spiega Guinet.
Su questa intuizione, Guinet ha rilasciato un tool in grado di decriptare i file danneggiati da WannaCry, chiamato WannaKey, che cerca sostanzialmente di recuperare i due numeri primari utilizzati nella formula per generare chiavi di crittografia dalla memoria.
Afferma Guinet che il tool “effettua questa operazione ricercando nel processo wcry.exe. Questo è il processo che genera la chiave privata RSA. l problema principale è che CryptDestroyKey e CryptReleaseContext non cancellano i primi numeri dalla memoria solo se questa non viene liberata”.
Questo significa che il tool funziona solo se:
– il pc infetto non è stato riavviato dopo l’infezione;
– la memoria associata non sia stata occupata o cancellata da un altro processo.
WannaKey rileva solo i primi numeri dalla memoria del computer interessato; lo strumento però può essere utilizzato solo da coloro che sappiano come utilizzare quei primi numeri per generare manualmente la chiave di decodifica per decrittografare i file del PC infetti da WannaCry.
La buona notizia è che un altro ricercatore, Benjamin Delpy, ha sviluppato uno strumento di facile utilizzo denominato “WanaKiwi“, basato sulla ricerca di Guinet, che semplifica l’intero processo di decrittografia dei file infetti da WannaCry.
Quello che devono fare le vittime è scaricare il tool WanaKiwi da Github ed eseguirlo sul computer Windows interessato tramite riga di comando (cmd).
WanaKiwi funziona su Windows XP, Windows 7, Windows Vista, Windows Server 2003 e 2008, ha confermato Matt Suiche della società di sicurezza Comae Technologies, che ha anche fornito alcune dimostrazioni che illustrano come utilizzare WanaKiwi per decrittografare i file.
Nonostante lo strumento non funzioni su tutti gli utenti, ancora dà qualche speranza alle vittime di WannaCry di riottenere i loro file criptati gratuitamente anche su Windows XP, il vecchio sistema operativo non più supportato da Microsoft.