Wannacry, alcuni PC con XP decriptati senza pagare il riscatto

I proprietari di alcuni PC con Windows XP colpiti dal ransomware WannaCry possono essere in grado di recuperare tutti i propri dati senza essere costretti a pagare i 300-600 euro di riscatto. A rivelare questa opportunità il ricercatore francese Adrien Guinet di Quarkslab, che ha rilasciato un software che – in base a quanto affermato – gli ha consentito di recuperare la chiave di decriptazione segreta per ripristinare il corretto funzionamento di un sistema con il vecchio SO.

Il software potrebbe non funzionare su tutti i PC visto che non sono ancora stati effettuati test approfonditi su un parco macchine soddisfacente a fini statistici. Anche nei casi in cui funziona sono comunque presenti alcuni limiti, e comunque ricordiamo che l’attacco avvenuto durante la scorsa settimana non ha coinvolto direttamente i sistemi con Windows XP anche se il ransomware di fatto può attecchire sui sistemi con il sistema operativo ormai non più supportato da Microsoft.

“Il software è stato testato su Windows XP, e sappiamo che funziona solo su questa versione”, ha scritto Guinet all’interno della nota che accompagna il download dell’applicazione chiamata Wannakey. “Per funzionare il tuo computer non deve essere stato riavviato dopo l’infezione. Da notare inoltre che c’è anche bisogno di un po’ di fortuna, visto che l’applicazione potrebbe non funzionare in tutti i casi e su tutti i sistemi infetti da WannaCry”. Su internet sono già stati riportati casi in cui il tool non ha avuto alcun effetto, come quello emblematico di Matt Suiche, ricercatore di Comae Technologies e fondatore della società.

WannaCry, noto anche come WCry, è balzato agli onori della cronaca nello scorso fine settimana come uno degli attacchi ransomware di più ampia portata di tutti i tempi. Impedisce l’uso dei file sul computer proteggendoli attraverso una chiave crittografica che viene resa nota al proprietario del sistema solamente dopo il pagamento di un riscatto dai 300 ai 600 Euro. Il ransomware utilizza la Microsoft Cryptographic Application Program Interface per molte delle sue funzioni, come ad esempio la generazione casuale della chiave crittografica per eliminare la protezione dei file.

Dopo averla creata e messa al sicuro, l’interfaccia cancella la chiave su molte delle versioni disponibili di Windows. Una delle funzionalità presenti su Windows XP, tuttavia, può inibire l’eliminazione della chiave, e come risultato i dati originali utilizzati per generare la chiave segreta dal ransomware WCry possono rimanere intatti nella memoria RAM, ovviamente fino a quando quest’ultimo non viene riavviato. WannaKey è in grado di rintracciare queste informazioni, analizzarle, ed estrarne le componenti variabili principali per trovare la chiave.

Ma c’è anche bisogno di molta fortuna, visto che quella parte della memoria RAM potrebbe essere facilmente riallocata o eliminata. Lo scorso venerdì WCry ha colpito più di 200 mila computer in 150 nazioni differenti dopo che qualcuno – la cui identità è ancora ignota – ha utilizzato un tool avanzato sviluppato dalla National Security Agency. L’exploit veniva chiamato dall’agenzia americana EternalBlue, ma è stato modificato per eseguire l’attacco in modo da poter essere replicato automaticamente per generare una serie di attacchi a catena fra più computer.

Il tutto senza richiedere un’interazione manuale da parte dell’aggressore. Un bug in questo lavoro di modifica su EternalBlue, che è pubblico dallo scorso mese di aprile, ha impedito il diffondersi del ransomware sui sistemi con Windows XP. Al momento il tool di Guinet funziona solo sul vecchio SO di Microsoft, e non sappiamo se il ricercatore riuscirà a trovare il bandolo della matassa anche per le versioni più recenti. Al momento il consiglio che possiamo dare a chi ha un PC infetto da WCry è aspettare – se possibile – senza riavviare il proprio sistema. (fonte)

You may also like...