venerdì 19 maggio 2017 di Michele Nasi 4780 Letture
Decodificare i file criptati da WannaCry su Windows 7 e su altri sistemi

Decodificare i file criptati da WannaCry su Windows 7 e su altri sistemi

Come recuperare i file cifrati da WannaCry su Windows 7 e sui sistemi operativi precedenti? Ecco una prima soluzione che si è già rivelata molto efficace per decodificare i dati senza pagare alcun riscatto.

Alcuni ricercatori hanno unito le forze per decodificare i file cifrati dal ransomware WannaCry.
Inizialmente sembrava che il recupero dei dati crittografati dal malware fosse possibile solamente in Windows XP, sistema operativo che peraltro non è stato aggredito da WannaCry (il ransomware può comunque cifrare tutti i file nel caso in cui, per esempio, fosse l'utente ad aver aperto il suo allegato malevolo).

Qualche ora fa è invece arrivata la conferma: il tool gratuito Wanakiwi permette di recuperare i file cifrati, con buona probabilità, se il sistemato aggredito da WannaCry non fosse stato riavviato.

Il software di decodifica funziona su Windows 7, Windows Vista, Windows XP, Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2.




Come gran parte dei ransomware più "furbi", WannaCry genera le chiavi, compresa quella per decifrare, utilizzando numeri primi. Scomporre un numero nei suoi divisori primi (fattorizzazione) è un'operazione molto lenta che richiede un impegno notevole in termini di risorse hardware ma se effettuata su numeri non particolarmente grandi, può diventare fattibile anche sui normali PC di oggigiorno.

Nel caso di WannaCry, però, i ricercatori hanno scovato gli indirizzi di memoria dove vengono temporaneamente salvati i numeri primi usati per cifrare i dati dell'utente. Ecco perché è importante non riavviare il sistema per non perdere per sempre questi dati.
La "falla" che è stata sfruttata dagli esperti di sicurezza e che ha permesso di risalire ai numeri primi usati da WannaCry è presente nelle API Microsoft Crypt.




Al momento lo stesso approccio non sembra aver dato esito positivo con Windows 8.1 e Windows 10. Segno che la funzione CryptReleaseContext delle API Microsoft è stata corretta o comunque modificata.