Il ransomware WannaCry ha infettato migliaia di sistemi informativi in tutto il mondo, ma Adrien Guinet un ricercatore di sicurezza di Quarkslab, ha trovato un modo per recuperare le chiavi di crittografia utilizzate dal ransomware.
Per recuperare le chiavi, è però necessario che il PC non sia stato riavviato dopo l’infezione consentendo al decrypt di recuperare i primi numeri della chiave privata dell’algoritmo di crittografia RSA utilizzato da Wanna Cry.
Questa operazione è effettuata sul processo “wcry.exe” che è incaricato di generare la chiave privata RSA. Il problema principale è che attualmente il software di decodifica è efficace solo (“attualmente”) sui SO Windows XP.
Il suo ideatore Adrien ha però rilasciato il codice sorgente al pubblico consentendo quindi ulteriori sviluppi anche per gli altri sistemi operativi.
Adrien ha quindi rilasciato il suo strumento chiamato Wanna Key mentre, partendo da quest’ultimo, un altro ricercatore Benjamin Delpy ha rilasciato un nuovo applicativo denominato WannaKiwi
La falla di Wanna Cry
Il ransomware WannaCry utilizza un algoritmo di crittografia asimmetrica basato sull’accoppiata chiave pubblica e privata per la cifratura e decifratura dei file. Per generare la coppia di chiavi, l’algoritmo utilizza una coppia di numeri primi che consentono di risalire alla chiave per decifrare i file. Generate le chiavi, WannaCry procede alla cancellazione dei file del PC infettato ma “dimentica” di cancellare i numeri primi utilizzati nel processo di generazione. Utilizzando questa “dimenticanza” è possibile recuperare i numeri primi dalla memoria del pc e applicando l’algoritmo di generazione della coppia di chiavi, risalire a quest’ultime per decifrare i file senza pagare alcun riscatto.
Il Consiglio
Anche se le soluzioni proposte non dovessero funzionare, il consiglio è quello di “congelare” la situazione in attesa di nuovi sviluppi che consentano di recuperare i file presi in ostaggio.
