Инструмент извлекает ключ для дешифровки из памяти самого компьютера.
Windows XP является одной из уязвимых операционных систем, пораженных в прошлую пятницу вымогательским ПО WannaCry. Несмотря на выход исправляющих уязвимость обновлений, огромное количество компьютеров стали жертвами вредоноса. К счастью, французский исследователь безопасности Адриан Гине (Adrien Guinet) разработал инструмент, позволяющий удалить WannaCry с системы без уплаты выкупа.
Стоит отметить, инструмент работает только в случае, если после заражения системы компьютер не был перезагружен. Если система была перезапущена, и WannaCry зашифровал файлы, программа Гине будет бесполезна.
Разработанный исследователем инструмент ищет ключ для дешифровки в памяти самого компьютера и способен восстановить простые числа закрытого RSA-ключа, используемого WannaCry при шифровании файлов жертвы. Как пояснил Гине, его инструмент ищет числа в процессе wcry.exe, генерирующем закрытый RSA-ключ.
После зашифровки закрытого ключа его незашифрованная версия удаляется из памяти инфицированного компьютера с помощью функции CryptReleaseContext. Тем не менее, как пояснил исследователь, CryptDestroyKey и CryptReleaseContext стирают только указывающий на ключ маркер, но не числа, благодаря чему закрытый ключ можно извлечь из памяти.
Программа работает только на Windows XP и не тестировалась на других версиях ОС. Скачать инструмент можно с репозитория GitHub.