Adrien Guinet, cercetător care lucrează în domeniul securității pentru start-up-ul francez Quarkslab, a descoperit o modalitate de a recupera gratuit cheile de criptare secrete utilizate de WannaCry, care funcționează pe sistemele de operare Windows XP, Windows 7, Windows Vista și Windows Server 2003 și 2008, conform unui articol publicat joi pe site-ul thehackernews.com.
Schema de criptare WannaCry funcționează generând o pereche de chei pe computerul victimei care se bazează pe numere prime, o cheie „publică” și o cheie „privată” pentru criptarea și decriptarea fișierelor sistemului respectiv. Pentru a preveni accesul victimei la cheia privată și a decripta fișierele blocate, WannaCry șterge cheia din sistem, nelăsând victimelor nicio posibilitate de a recupera cheia de decriptare decât prin plata răscumpărării către atacator.
Dar aici este secretul: WannaCry „nu șterge numerele prime din memorie înainte de a elibera memoria asociată”, spune Guinet. Pe baza acestei constatări, el a lansat un instrument de decriptare a WannaCry ransomware, numit WannaKey, care în principiu încearcă să recupereze cele două numere prime folosite în formula de a genera chei de criptare din memorie.
Cu toate acestea, metoda are unele limitări în sensul că va funcționa numai în situația în care computerul afectat nu a fost repornit după ce a fost infectat și memoria asociată nu a fost distribuită și ștearsă de un alt proces.
„Pentru a funcționa, computerul nu trebuie să fi fost repornit după ce a fost infectat. Vă rugăm de asemenea să rețineți că aveți nevoie de ceva noroc pentru ca acest lucru să funcționeze, așa că este posibil să nu funcționeze în toate cazurile!”, avertizează Guinet.
