Ritorniamo a parlare di WannaCry , Le versioni del SO supportate sono: Windows 7, Windows 2003, Windows Vista, Windows Server 2008, 2008 R2, e XP. Il nuovo strumento per decriptare i file senza pagare il riscatto se il proprio PC è infetto da WCry (o WannaCry) si chiama wannakiwi e, come WannaKey, costruisce la chiave che usa il ransomware per inibire l’accesso ai file presenti sul sistema.
Il cofondatore di Comae, Matt Suichem riporta che wannakiwi funziona, ed anche l’Europol ne ha certificato l’affidabilità. Maggiori dettagli tecnici – riportati da Matt Suiche, possono essere trovati qui.
Wannakiwi e WannaKey sono molto simili: entrambi infatti sfruttano alcuni bug nella Microsoft Cryptographic Application Programming Interface adottata da WCry per la generazione delle chiavi crittografiche e la decriptazione dei file. Sebbene l’interfaccia di Windows utilizzi funzioni per la cancellazione della chiave dalla memoria del computer una volta resa sicura, alcune limitazioni precedentemente trascurate fanno in modo che i numeri originali utilizzati per la creazione della chiave vengano preservati nel computer e che possano essere recuperati.
Il tutto però fino al riavvio: wanakiwi è in grado di analizzare la memoria dei sistemi, estrarre alcune variabili su cui si basa la chiave e generare quella completa, su sistemi che non sono stati mai riavviati dall’infezione. Lo strumento utilizza infine la chiave per decriptare tutti i file resi inaccessibili dal ransomware Wcry. Gli sviluppatori sostengono di essere riusciti a sbloccare i file su parecchi PC, affermando inoltre che wanakiwi offre diverse migliorie rispetto a Wannakey, come la UI punta e clicca e la capacità di generare la chiave finale senza l’ausilio di altri tool esterni.
È pertanto sufficiente “scaricare wanakiwi e, se la chiave può essere ricostruita, il tool la estrae, la ricostruisce e inizia la decriptazione di tutti i file sull’unità”. Quindi, alla luce delle novità e dei nuovi tool rilasciati, il consiglio rimane sempre quello di non riavviare i PC se vengono infettati dal ransomware WannaCry, o derivati. Anche nel caso di mancato riavvio wannakiwi potrebbe fallire nella generazione della chiave, visto che il settore della memoria in cui è salvata può essere riallocato. Inoltre il funzionamento dello strumento non è garantito con i sistemi con CPU x64.
In ogni caso WannaKey e wannakiwi sono attualmente gli strumenti più efficaci per riottenere i file sui sistemi infetti da Wcry, pur con tutte le loro limitazioni
PS: se ti è piaciuto questo articolo, regalami un tuo mi piace.
