sabato 20 maggio 2017

Ransomware WannaCry: Recuperare i dati criptati

Il ricercatore di sicurezza informatica Adrien Guinet, ha trovato un modo per recuperare la chiave per decriptare i file cifrati dal ransomware WannaCry: Il ransomware genera la chiave pubblica e quella privata sulla macchina della vittima e, a causa di un errore di programmazione, la memoria dove risiedono tali chiavi non viene ripulita ma viene semplicemente contrassegnata come libera. Basandosi su tali informazioni un'altro ricercatore di sicurezza, Benjamin Delpy, ha sviluppato un tool chiamato WannaKiwi che automatizza l'operazione di recupero della chiave privata. 
WannaCry
FIG 1 - WannaCry

Nel caso in cui il sistema sia stato infettato, non riavviarlo o spegnerlo.
  • Scaricare WannaKiwi https://github.com/gentilkiwi/wanakiwi/releases e avviare il file eseguibile;
  • Il tool cerca autonomamente il file 00000000.pky. Non resta che sperare che la chiave privata non sia stata sovrascritta in memoria e attendere che il tool riesca ad individuarla e a procedere al recupero dei file cifrati con estensione .wncry
WannaKiwi provvede a creare anche i file con estensione .dky fermando, in questo modo, l'infezione di ulteriori file.



Nessun commento:

Posta un commento

I messaggi sono soggetti a moderazione da parte dell'amministratore prima della loro pubblicazione.