Seorang peneliti keamanan menemukan cara untuk mengambil kunci enkripsi yang digunakan oleh ransomware WannaCrypt (AKA WannaCry) tanpa membayar uang tebusan $ 300. Ini besar karena WannaCry menggunakan alat kriptografi bawaan Microsoft untuk melakukan apa yang perlu dilakukan. Sementara Windows XP tidak banyak dipengaruhi oleh serangan cyber, teknik berikut ini dapat diterapkan dalam kasus infeksi ransomware lainnya.

Wcry, sekarang tersedia di Windows XP

Alat itu disebut Wcry dan alat itu langsung mengambil kunci dari memori sistem yang terpengaruh. Solusi ini saat ini tersedia untuk Windows XP dan hanya ketika PC tersebut belum di-boot-ulang atau memorinya ditimpa.

Wcry dikembangkan oleh Adrien Guinet, seorang peneliti Perancis, yang memposting solusi di GitHub secara gratis.

Bagaimana itu bekerja

Menurut Guinet, perangkat lunak hanya diuji di bawah Windows XP dan itu berjalan dengan sempurna. Catatan yang ditemukan di sebelah aplikasi juga berbunyi bahwa “ agar dapat berfungsi, komputer Anda tidak harus di-boot ulang setelah terinfeksi. Harap perhatikan juga bahwa Anda perlu sedikit keberuntungan agar ini berfungsi (lihat di bawah), jadi mungkin tidak berhasil dalam setiap kasus! ”

Di Windows XP, ada cacat yang mencegah penghapusan kunci dari memori dan cacat ini kurang dari sistem operasi yang lebih baru. Penting bahwa bilangan prima masih ada dalam memori.

Guinet mengatakan bahwa:

Perangkat lunak ini memungkinkan untuk memulihkan nomor utama kunci pribadi RSA yang digunakan oleh Wanacry. Itu melakukannya dengan mencari mereka dalam proses wcry.exe. Ini adalah proses yang menghasilkan kunci pribadi RSA. Masalah utama adalah bahwa CryptDestroyKey dan CryptReleaseContext tidak menghapus bilangan prima dari memori sebelum membebaskan memori yang terkait.

Karena Anda dapat menggunakan alat ini untuk lebih banyak infeksi ransomware, itu akan terbukti sangat berguna untuk memberikan dukungan teknis.