WannaKey: WannaCry Ransomware Decryption Tool

WannaKey

Pesquisador francês cria o WannaKey , ferramenta capaz de recuperar chaves secretas de criptografia usadas pelo WannaCry.

Se o seu PC foi infectado pelo ransomware WannaCry, que prejudicou milhares de usuários em todo o mundo na sexta-feira passada, você pode ter a sorte de obter seus arquivos bloqueados de volta sem necessidade de pagar para os cibercriminosos o resgate de US$ 300 – US$ 600.

Adrien Guinet, um pesquisador francês de segurança da Quarkslab, descobriu uma maneira de recuperar as chaves secretas de criptografia usadas pelo WannnaCry em sistemas operacionais Windows XP.1

De fato, a ferramenta de decodificação é de valor limitado, porque o Windows XP não foi afetado pelo worm da semana passada.  Apesar do worm não infectar o WinXP, o ransomware funciona neste sistema, mas desde que lá tenha sido copiado manualmente e executado.2

Chaves de descriptografia do Ransomware WannaCry

O esquema de criptografia do WannaCry funciona gerando um par de chaves no computador da vítima que dependem um par de números, uma chave “pública” e uma chave “privada” para criptografar e descriptografar os arquivos do sistema, respectivamente.

Para evitar que a vítima acesse a chave privada e decifre os arquivos bloqueados, o WannaCry apaga a chave do sistema, não deixando escolha para as vítimas para recuperação da chave de descriptografia, a não ser o pagamento do resgate ao atacante.

O WannaCry, diz Guinet “não apaga par de números  da memória antes de liberar a memória associada”.

Com base nessa descoberta, Guinet lançou uma ferramenta de decifração chamada WannaKey, que basicamente tenta recuperar os par de números usados ​​na fórmula para gerar chaves de criptografia de memória.

Ele realiza a tarefa procurando por eles no processo wcry.exe. Este é o processo que gera a chave privada RSA. O principal problema é que o CryptDestroyKey e CryptReleaseContext não apaga os números primos da memória antes de liberar a memória associada.”

Assim, isso significa que este método funcionará somente se:

  • O computador afetado não foi reiniciado após ser infectado;
  • A memória associada não foi alocada e apagada por algum outro processo.

“Para funcionar, o computador não deve ter sido reiniciado depois de ter sido infectado. Por favor, note que você precisa ter sorte para que isso funcione (veja abaixo), e assim pode não funcionar em todos os casos!”.

“Não se trata de  um erro dos autores do ransomware, pois eles usam corretamente a API de criptografia do Windows.”

Como o WannaKey só tem acesso aos números primos da memória do computador afetado, a ferramenta só tem uso para aqueles que podem usar esses números primos para gerar a chave de descriptografia manualmente para descriptografar os arquivos do PC infectado pelo WannaCry.

Proteção efetiva contra RANSOMWARE:
Digite o seu e-mail abaixo para fazer o DOWNLOAD GRATUITO do Kaspersky Anti-Ransomware Tool for Business:

Download grátis Kaspersky Anti-Ransomware Tool for Business

Referências

  1.  Windows XP PCs infected by WCry can be decrypted without paying ransom:
    https://arstechnica.com/security/2017/05/windows-xp-pcs-infected-by-wcry-can-be-decrypted-without-paying-ransom/
  2.  The worm doesn’t infect WinXP – but the ransomware works on WinXP just fine. Yes, you’d have to manually copy and run it there.
    https://twitter.com/VessOnSecurity/status/865203180677812225

RiCoBa

Consultor em segurança da informação com 13 anos de experiência. Bacharel em Filosofia e cursando Direito, visando especialização em Direito Informático. Quando consigo alocar tempo, estudo para tirar a certificação CISSP (um dia faço a prova). Interesso-me pela prática de esportes, cervejas de trigo, vinhos e discussões políticas. Nesta seara sou um “liberal-conservative”.

Artigos relacionados