Un chercheur en sécurité a trouvé un moyen de récupérer les clés de cryptage utilisées par le ransomware WannaCrypt (AKA WannaCry) sans payer la rançon de 300 $. C'est important parce que WannaCry utilise les outils cryptographiques intégrés de Microsoft pour faire ce qu'il doit faire. Bien que Windows XP n'ait pas été largement touché par la cyberattaque, la technique suivante peut être appliquée dans le cas d'autres infections par ransomware.

Wcry, maintenant disponible sur Windows XP

L'outil s'appelle Wcry et extrait la clé de la mémoire du système affecté. Cette solution est actuellement disponible pour Windows XP et uniquement lorsque le PC en question n'a pas été redémarré ou que sa mémoire n'a pas été écrasée.

Wcry a été développé par Adrien Guinet, un chercheur français, qui a publié la solution gratuitement sur GitHub.

Comment ça fonctionne

Selon Guinet, le logiciel n’a été testé que sous Windows XP et il fonctionne parfaitement. La note trouvée à côté de l'application indique également que « pour fonctionner, votre ordinateur ne doit pas avoir été redémarré après avoir été infecté. Notez également que vous avez besoin de chance pour que cela fonctionne (voir ci-dessous), et donc cela pourrait ne pas fonctionner dans tous les cas! ”

Dans Windows XP, il existe une faille qui empêche l’effacement des clés de la mémoire et qui fait défaut dans les systèmes d’exploitation plus récents. Il est important que les nombres premiers soient encore dans la mémoire.

Guinet dit que:

Ce logiciel permet de récupérer les nombres premiers de la clé privée RSA utilisés par Wanacry. Pour ce faire, il les recherche dans le processus wcry.exe. C'est le processus qui génère la clé privée RSA. Le problème principal est que CryptDestroyKey et CryptReleaseContext n'effacent pas les nombres premiers de la mémoire avant de libérer la mémoire associée.

Comme vous pouvez utiliser l'outil pour plus d'infections par ransomware, il s'avérera très utile pour fournir un support technique.