Выпущен инструмент для удаления WannaCry с Windows XP без уплаты выкупа
Windows XP является одной из уязвимых операционных систем, пораженных в прошлую пятницу вымогательским ПО WannaCry. Несмотря на выход исправляющих уязвимость обновлений, огромное количество компьютеров стали жертвами вредоноса. К счастью, французский исследователь безопасности Адриан Гине (Adrien Guinet) разработал инструмент, позволяющий удалить WannaCry с системы без уплаты выкупа.
Стоит отметить, инструмент работает только в случае, если после заражения системы компьютер не был перезагружен. Если система была перезапущена, и WannaCry зашифровал файлы, программа Гине будет бесполезна.
Разработанный исследователем инструмент ищет ключ для дешифровки в памяти самого компьютера и способен восстановить простые числа закрытого RSA-ключа, используемого WannaCry при шифровании файлов жертвы. Как пояснил Гине, его инструмент ищет числа в процессе wcry.exe, генерирующем закрытый RSA-ключ.
После зашифровки закрытого ключа его незашифрованная версия удаляется из памяти инфицированного компьютера с помощью функции CryptReleaseContext. Тем не менее, как пояснил исследователь, CryptDestroyKey и CryptReleaseContext стирают только указывающий на ключ маркер, но не числа, благодаря чему закрытый ключ можно извлечь из памяти.
Программа работает только на Windows XP и не тестировалась на других версиях ОС. Скачать инструмент можно с репозитория GitHub.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
