Истраживач безбедности пронашао је начин да преузме кључеве за шифровање које користи веб софтвер ВаннаЦрипт (АКА ВаннаЦри), а да није платио откуп од 300 долара. То је велико јер ВаннаЦри користи Мицрософтове уграђене криптографске алате да би урадио оно што треба. Иако цибер-напад није био под широким утицајем на Виндовс КСП, следећа техника се може применити у случају других рансомваре инфекција.

Вцри, сада је доступан на Виндовс КСП

Алат се зове Вцри и кључ извлачи из меморије погођеног система. Ово решење је тренутно доступно за Виндовс КСП и само када дотични рачунар није поново покренут или му је меморија пребрисана.

Вцри је развио Адриен Гуинет, француски истраживач, који је решење бесплатно објавио на ГитХуб-у.

Како то ради

Према Гуинету, софтвер је тестиран само у оперативном систему Виндовс КСП и ради савршено. Напомена пронађена поред апликације такође гласи да „ да би радио, рачунар не сме бити поново покренут након заразе. Молимо узмите у обзир и да вам треба мало среће да ово функционише (види доле), па можда неће радити у сваком случају! “

У Виндовс КСП-у постоји недостатак који спречава брисање кључева из меморије, а овај недостатак недостаје новијим оперативним системима. Важно је да примарни бројеви остану у меморији.

Гуинет каже да:

Овај софтвер омогућава да се поврате главни бројеви приватног кључа РСА које Ванацри користи. То ради тако што их претражује у процесу вцри.еке. Ово је процес који генерише приватни кључ РСА. Главно питање је да ЦриптДестроиКеи и ЦриптРелеасеЦонтект не бришу примарне бројеве из меморије пре него што ослободе придружену меморију.

Како можете да користите алат за више рансомваре инфекција, показаће се да је врло користан у пружању техничке подршке.