Специалисты научились расшифровывать данные после кибератаки WannaCry

Фото:ТАСС/Сергей Коньков

Разработчик французской компании Quarkslab Адриен Гинье нашел способ расшифровки данных, которые пострадали в результате нападок вируса WannaCry, сообщается в Twitter-аккаунте специалиста.

Однако метод работает только для операционной системы Windows XP и не во всех случаях. Разработчик выложил в Сеть исходные коды инструмента, который получил имя WannaKey.

Во время работы малварь задействует Windows Crypto API и создает два вида ключей ключей: публичный для шифровки файлов и приватный, с помощью которого документы можно расшифровать (поле выкупа), причем приватный ключ тоже зашифрован (чтобы жертва не смогла получить его раньше времени). У  этого ключа остается незашифрованная версия, стирающаяся с помощью стандартной функции CryptReleaseContext, котрая должна также удалять его и из памяти компьютера. Но Гинье выяснил, что из-за системного бага этого не происходит, удаляется только "маркер" ключа. По словам Гинье, извлечь приватный ключ можно, и ему самому это удавалось.

Получить ключ можно в случае, если вы не перезагружали и не выключали зараженное устройство, так как он сохраняется только в энергозависимой памяти. Кроме того, следить придется и за тем, чтобы компьютер не перезаписал какой-нибудь процесс поверх ключа. 

Напомним, что от вируса пострадали 200 тысяч компьютеров в 150 странах мира. WannaCry шифрует данные на устройствах и затем блокирует их работу, вывешивая "заглушку" с требованием перечислить злоумышленникам $300-600 в криптовалюте, не исполнение которого ведет к удалению зашифрованной информации.

Актуально по теме