นักวิจัยด้านความปลอดภัยพบวิธีในการเรียกคืนคีย์การเข้ารหัสที่ใช้โดย Ransomware ของ WannaCrypt (AKA WannaCry) โดยไม่ต้องจ่ายค่าไถ่ $ 300 นี่เป็นเรื่องใหญ่เพราะ WannaCry ใช้เครื่องมือการเข้ารหัสในตัวของ Microsoft เพื่อทำสิ่งที่จำเป็นต้องทำ แม้ว่า Windows XP จะไม่ได้รับผลกระทบอย่างกว้างขวางจากการโจมตีทางไซเบอร์ แต่อาจมีการใช้เทคนิคดังต่อไปนี้ในกรณีของการติดเชื้อ ransomware อื่น ๆ

Wcry พร้อมใช้งานบน Windows XP แล้ว

เครื่องมือนี้เรียกว่า Wcry และดึงกุญแจออกจากหน่วยความจำของระบบที่ได้รับผลกระทบ ขณะนี้โซลูชันนี้พร้อมใช้งานสำหรับ Windows XP และเฉพาะเมื่อพีซีที่เป็นปัญหาไม่ได้ถูกรีบูทหรือมีการเขียนทับหน่วยความจำ

Wcry ได้รับการพัฒนาโดย Adrien Guinet นักวิจัยชาวฝรั่งเศสผู้โพสต์คำตอบบน GitHub ฟรี

มันทำงานอย่างไร

จากข้อมูลของ Guinet ซอฟต์แวร์ดังกล่าวได้รับการทดสอบภายใต้ Windows XP และทำงานได้อย่างสมบูรณ์แบบ หมายเหตุที่พบถัดจากแอปยังอ่านว่า“ เพื่อให้ทำงานได้คอมพิวเตอร์ของคุณจะต้องไม่ถูกรีบูทหลังจากติดไวรัส โปรดทราบว่าคุณต้องมีโชคในการทำงาน (ดูด้านล่าง) และดังนั้นจึงอาจไม่ทำงานในทุกกรณี! ”

ใน Windows XP มีข้อบกพร่องที่ป้องกันการลบคีย์จากหน่วยความจำและข้อบกพร่องนี้ขาดจากระบบปฏิบัติการรุ่นใหม่ เป็นสิ่งสำคัญที่ตัวเลขสำคัญยังอยู่ในหน่วยความจำ

Guinet กล่าวว่า:

ซอฟต์แวร์นี้ช่วยให้สามารถกู้คืนหมายเลขเฉพาะของคีย์ส่วนตัวของ RSA ที่ใช้โดย Wanacry มันทำได้โดยค้นหาพวกเขาในกระบวนการ wcry.exe นี่เป็นกระบวนการที่สร้างคีย์ส่วนตัว RSA ปัญหาหลักคือ CryptDestroyKey และ CryptReleaseContext จะไม่ลบหมายเลขเฉพาะออกจากหน่วยความจำก่อนที่จะเพิ่มหน่วยความจำที่เกี่ยวข้อง

เนื่องจากคุณสามารถใช้เครื่องมือสำหรับการติดเชื้อ ransomware เพิ่มเติมมันจะพิสูจน์ว่ามีประโยชน์มากสำหรับการให้การสนับสนุนด้านเทคนิค