Wcry est un outil gratuit de décryptage Ransomware pour Windows XP

Only admnistrator owned posts can execute the [includeme] shortcode. This message is shown only to administrators.

Un chercheur en sécurité a trouvé un moyen de récupérer les clés de cryptage utilisées par WannaCrypt (AKA WannaCry) sans payer la rançon de 300 $. C’est important parce que WannaCry utilise les outils cryptographiques intégrés de Microsoft pour faire ce qu’il doit faire. Bien que Windows XP n’ait pas été très affecté par la cyberattaque, la technique suivante peut être appliquée à d’autres infections de logiciels de rançon.

Wcry, maintenant disponible sous Windows XP

Only admnistrator owned posts can execute the [includeme] shortcode. This message is shown only to administrators.

L’outil s’appelle Wcry et obtient la clé directement de la mémoire du système affecté. Cette solution est actuellement disponible pour Windows XP et seulement si le PC en question n’a pas été redémarré ou sa mémoire écrasée.

Wcry a été développé par Adrien Guinet, un chercheur français qui a publié la solution gratuitement sur GitHub.

Comment ça marche

Selon Guinet, le logiciel n’a été testé que sous Windows XP et fonctionne parfaitement. La note à côté de l’application indique également que votre ordinateur n’a pas été redémarré pour fonctionner après l’infection. Notez également que vous avez besoin d’un peu de chance (voir ci-dessous), donc cela pourrait ne pas fonctionner dans tous les cas !

Sous Windows XP, il y a une erreur qui empêche les touches d’être effacées de la mémoire, et cette erreur est absente sur les nouveaux systèmes d’exploitation. Il est important que les nombres premiers soient encore en mémoire.

Guinet le dit :

Ce logiciel permet de récupérer les nombres premiers de la clé privée RSA utilisée par Wanacry. Cela se fait en les recherchant dans le processus wcry.exe. C’est le processus qui génère la clé privée RSA. Le problème principal est que la CryptDestroyKey et CryptReleaseContext ne suppriment pas les nombres premiers de la mémoire avant que la mémoire associée ne soit libérée.

Puisque vous pouvez utiliser l’outil pour d’autres infections de rançon, il s’avérera très utile pour fournir un support technique.

Only admnistrator owned posts can execute the [includeme] shortcode. This message is shown only to administrators.

You may also like...