Pesquisador francês cria o WannaKey , ferramenta capaz de recuperar chaves secretas de criptografia usadas pelo WannaCry.
Se o seu PC foi infectado pelo ransomware WannaCry, que prejudicou milhares de usuários em todo o mundo na sexta-feira passada, você pode ter a sorte de obter seus arquivos bloqueados de volta sem necessidade de pagar para os cibercriminosos o resgate de US$ 300 – US$ 600.
I got to finish the full decryption process, but I confirm that, in this case, the private key can recovered on an XP system #wannacry!! pic.twitter.com/QiB3Q1NYpS
— Adrien Guinet (@adriengnt) May 18, 2017
Adrien Guinet, um pesquisador francês de segurança da Quarkslab, descobriu uma maneira de recuperar as chaves secretas de criptografia usadas pelo WannnaCry em sistemas operacionais Windows XP.1
The worm doesn't infect WinXP – but the ransomware works on WinXP just fine. Yes, you'd have to manually copy and run it there.
— Vess (@VessOnSecurity) May 18, 2017
De fato, a ferramenta de decodificação é de valor limitado, porque o Windows XP não foi afetado pelo worm da semana passada. Apesar do worm não infectar o WinXP, o ransomware funciona neste sistema, mas desde que lá tenha sido copiado manualmente e executado.2
Chaves de descriptografia do Ransomware WannaCry
O esquema de criptografia do WannaCry funciona gerando um par de chaves no computador da vítima que dependem um par de números, uma chave “pública” e uma chave “privada” para criptografar e descriptografar os arquivos do sistema, respectivamente.
Para evitar que a vítima acesse a chave privada e decifre os arquivos bloqueados, o WannaCry apaga a chave do sistema, não deixando escolha para as vítimas para recuperação da chave de descriptografia, a não ser o pagamento do resgate ao atacante.
O WannaCry, diz Guinet “não apaga par de números da memória antes de liberar a memória associada”.
Com base nessa descoberta, Guinet lançou uma ferramenta de decifração chamada WannaKey, que basicamente tenta recuperar os par de números usados na fórmula para gerar chaves de criptografia de memória.
Ele realiza a tarefa procurando por eles no processo wcry.exe. Este é o processo que gera a chave privada RSA. O principal problema é que o CryptDestroyKey e CryptReleaseContext não apaga os números primos da memória antes de liberar a memória associada.”
Assim, isso significa que este método funcionará somente se:
- O computador afetado não foi reiniciado após ser infectado;
- A memória associada não foi alocada e apagada por algum outro processo.
“Para funcionar, o computador não deve ter sido reiniciado depois de ter sido infectado. Por favor, note que você precisa ter sorte para que isso funcione (veja abaixo), e assim pode não funcionar em todos os casos!”.
“Não se trata de um erro dos autores do ransomware, pois eles usam corretamente a API de criptografia do Windows.”
Como o WannaKey só tem acesso aos números primos da memória do computador afetado, a ferramenta só tem uso para aqueles que podem usar esses números primos para gerar a chave de descriptografia manualmente para descriptografar os arquivos do PC infectado pelo WannaCry.
Referências
- Windows XP PCs infected by WCry can be decrypted without paying ransom:
https://arstechnica.com/security/2017/05/windows-xp-pcs-infected-by-wcry-can-be-decrypted-without-paying-ransom/ ↩ - The worm doesn’t infect WinXP – but the ransomware works on WinXP just fine. Yes, you’d have to manually copy and run it there.
https://twitter.com/VessOnSecurity/status/865203180677812225 ↩