Способ борьбы с вирусом WannaCry найден. Французский эксперт Адриен Гинье (Adrien Guinet) из компании Quarkslab нашел новый способ для получения ключей расшифровки WannaCry абсолютно бесплатно. Способ работает только в операционной системе Windows XP.
В процессе шифрования зловред WannaCry генерирует на компьютере жертвы открытый и закрытый ключи, которые служат для шифрования и расшифровки пользовательских файлов.
Чтобы предотвратить возможность получения доступа к закрытому ключу для дешифрования файлов, WannaCry стирает этот ключ из системы, поэтому у жертвы остаётся единственный выход – заплатить выкуп.
Тем не менее, была обнаружена закономерность: WannaCry не стирает простые номера ключей из памяти до момента очистки ассоциативной памяти.
Эта особенность и была использована для создания инструмента дешифрования под названием WannaKey, который пытается обнаружить две числовые комбинации, которые используются для генерации ключей шифрования из памяти.Гинье отмечает: “Приложение выполняет поиск ключей дешифрования в процессе wcry.exe, который генерирует закрытые RSA ключи. Особенность заключается в том, что CryptDestroyKey и CryptReleaseContext не стирают простые числа из памяти до освобождения ассоциативной памяти”.
Это означает, что метод будет работать, только если:
Эксперт предупреждает, что инструмент поможет, только если компьютер не перезагружался после заражения и даже в этом случае не всегда получится успешно дешифровать файлы.
Ошибка не была допущена киберпреступниками, они просто использовали Windows Crypto API.
Еще один исследователь безопасности Бенжамин Делфи (Benjamin Delpy) разработал простую в использовании программу под названием WanaKiwi. Она использует открытие Гинье, которое упрощает процесс дешифрования заблокированных WannaCry файлов.
Всем жертвам рекомендуется скачать WanaKiwi с сервиса Github и запустить на зараженных системах с помощью командной строки.
Мэтт Cebi (Matt Suche) из компании Comae Technologies уже протестировал приложение и продемонстрировал, как можно использовать WanaKiwi для дешифрования файлов. WanaKiwi работает в операционных системах Windows XP, Windows 7, Windows Vista, Windows Server 2003 и Windows Server 2008.
Хотя из-за определённых зависимостей, инструмент заработает не в каждой системе, он все же дает некоторым жертвам надежду восстановить доступ к файлам без финансовых затрат.