وجد باحث أمني طريقة لاسترداد مفاتيح التشفير المستخدمة من قبل فدية WannaCrypt (AKA WannaCry) دون دفع فدية قدرها 300 دولار. هذا أمر كبير لأن WannaCry يستخدم أدوات التشفير المضمنة من Microsoft للقيام بما يلزم القيام به. على الرغم من أن نظام التشغيل Windows XP لم يتأثر على نطاق واسع بالهجوم السيبراني ، فقد يتم تطبيق التقنية التالية في حالة حدوث إصابات أخرى بفدية الفدية.

Wcry ، متوفر الآن على نظام التشغيل Windows XP

تسمى الأداة Wcry وهي تقوم بإخراج المفتاح مباشرة من ذاكرة النظام المتأثر. يتوفر هذا الحل حاليًا لنظام التشغيل Windows XP وفقط عندما لا يتم إعادة تشغيل جهاز الكمبيوتر المعني أو الكتابة فوق ذاكرته.

تم تطوير Wcry من قبل أدريان جينيت ، الباحث الفرنسي ، الذي نشر الحل على جيثب مجانًا.

كيف تعمل

وفقًا لـ Guinet ، لم يتم اختبار البرنامج إلا تحت نظام التشغيل Windows XP ويتم تشغيله بشكل مثالي. تنص الملاحظة الموجودة بجانب التطبيق أيضًا على أنه "من أجل العمل ، يجب ألا يتم إعادة تشغيل جهاز الكمبيوتر بعد إصابته. يرجى أيضًا ملاحظة أنك تحتاج إلى بعض الحظ حتى يعمل هذا (انظر أدناه) ، وبالتالي قد لا يعمل في كل حالة!"

في نظام التشغيل Windows XP ، يوجد عيب يمنع محو المفاتيح من الذاكرة وهذا العيب غير موجود في أنظمة التشغيل الأحدث. من المهم أن الأعداد الأولية لا تزال في الذاكرة.

يقول جينيت:

يسمح هذا البرنامج باستعادة الأعداد الأولية للمفتاح الخاص RSA الذي تستخدمه Wanacry. يتم ذلك عن طريق البحث عنها في عملية wcry.exe. هذه هي العملية التي تنشئ مفتاح RSA الخاص. المشكلة الرئيسية هي أن CryptDestroyKey و CryptReleaseContext لا يمحو الأرقام الأولية من الذاكرة قبل تحرير الذاكرة المرتبطة.

كما يمكنك استخدام الأداة لمزيد من الإصابات بفدية الفدية ، سيكون ذلك مفيدًا جدًا لتوفير الدعم الفني.