Jeudi 18 mai 2017 Swati Khandelwal
La video !Si votre PC a été infecté par WannaCry - le système de ransomware qui a causé des ravages dans le monde vendredi dernier - vous pourriez avoir de la chance de récupérer vos fichiers verrouillés sans payer la rançon de 300 $ aux cybercriminels.
Adrien Guinet, chercheur français en sécurité de Quarkslab, a découvert un moyen de récupérer gratuitement les clés de cryptage secrètes utilisées par WannaCry ransomware, qui fonctionnent sur les systèmes d'exploitation Windows XP, Windows 7, Windows Vista, Windows Server 2003 et 2008.WannaCry Ransomware Clés de décryptage(télécharger le )
Le système de cryptage de WannaCry fonctionne en générant une paire de clés sur l'ordinateur de la victime qui s'appuient sur des nombres premiers, une clé «publique» et une clé «privée» pour chiffrer et déchiffrer les fichiers du système respectivement.
Pour empêcher la victime d'accéder à la clé privée et de décrypter les fichiers verrouillés lui-même, WannaCry efface la clé du système, ne laissant aucun choix aux victimes pour récupérer la clé de décryptage, sauf en payant la rançon à l'attaquant.
Mais voici le kicker: WannaCry "n'efface pas les nombres premiers de la mémoire avant de libérer la mémoire associée", explique Guinet.
Sur la base de cette découverte, Guinet a publié un outil de décryptage WannaCry ransomware, appelé WannaKey, qui essaie essentiellement de récupérer les deux nombres premiers, utilisés dans la formule pour générer des clés de cryptage à partir de la mémoire, et fonctionne uniquement sur Windows XP.
Remarque: ci-dessous j'ai également mentionné un autre outil, baptisé WanaKiwi, qui fonctionne pour Windows XP vers Windows 7.
"Il le fait en les recherchant dans le processus wcry.exe. C'est le processus qui génère la clé privée RSA. Le problème principal est que CryptDestroyKey et CryptReleaseContext n'effacent pas les nombres premiers de la mémoire avant de libérer la mémoire associée". Dit Guinet
Donc, cela signifie que cette méthode ne fonctionnera que si:
L'ordinateur affecté n'a pas été redémarré après avoir été infecté.
La mémoire associée n'a pas été attribuée et effacée par un autre processus.
"Pour fonctionner, votre ordinateur ne doit pas être redémarré après avoir été infecté. Notez également que vous avez besoin d'un peu de chance pour ce travail (voir ci-dessous), et cela pourrait ne pas fonctionner dans tous les cas!", Déclare Guinet.
"Ce n'est pas vraiment une erreur des auteurs de ransomware, car ils utilisent correctement l'API Windows Crypto."
Alors que WannaKey ne tire que les nombres premiers de la mémoire de l'ordinateur concerné, l'outil ne peut être utilisé que par ceux qui peuvent utiliser ces nombres premiers pour générer la clé de décryptage manuellement pour décrypter les fichiers de leur PC infectés par WannaCry.
WanaKiwi: WannaCry Ransomware outil de décryptage
Les bonnes nouvelles sont qu'un autre chercheur en sécurité, Benjamin Delpy, a développé un outil facile à utiliser appelé "WanaKiwi", basé sur la découverte de Guinet, qui simplifie tout le processus de décryptage de fichiers infectés par WannaCry.
Toutes les victimes doivent le faire pour télécharger l'outil WanaKiwi de Github et l'exécuter sur leur ordinateur Windows affecté à l'aide de la ligne de commande (cmd).
WanaKiwi travaille sur Windows XP, Windows 7, Windows Vista, Windows Server 2003 et 2008, a confirmé Matt Suiche de la société de sécurité Comae Technologies, qui a également fourni des démonstrations montrant comment utiliser WanaKiwi pour décrypter vos fichiers.
Bien que l'outil ne fonctionnera pas pour chaque utilisateur en raison de ses dépendances, il est toujours un bon espoir pour les victimes de WannaCry de récupérer leurs fichiers verrouillés gratuitement, même de Windows XP, la version vieillissante, largement non prise en charge du système d'exploitation de Microsoft.
REF.: