WannaCry, alcuni PC con Windows XP possono essere decriptati senza pagare il riscatto

WannaCry, alcuni PC con Windows XP possono essere decriptati senza pagare il riscatto

Uno sviluppatore francese č riuscito a risalire alla chiave di decriptazione usata dal ransomware WannaCry su sistemi Windows XP

di Nino Grasso pubblicata il , alle 12:21 nel canale Sicurezza
 

I proprietari di alcuni PC con Windows XP colpiti dal ransomware WannaCry possono essere in grado di recuperare tutti i propri dati senza essere costretti a pagare i 300-600 Euro di riscatto. A rivelare questa opportunità il ricercatore francese Adrien Guinet di Quarkslab, che ha rilasciato un software che - in base a quanto affermato - gli ha consentito di recuperare la chiave di decriptazione segreta per ripristinare il corretto funzionamento di un sistema con il vecchio SO.

Il software potrebbe non funzionare su tutti i PC visto che non sono ancora stati effettuati test approfonditi su un parco macchine soddisfacente a fini statistici. Anche nei casi in cui funziona sono comunque presenti alcuni limiti, e comunque ricordiamo che l'attacco avvenuto durante la scorsa settimana non ha coinvolto direttamente i sistemi con Windows XP anche se il ransomware di fatto può attecchire sui sistemi con il sistema operativo ormai non più supportato da Microsoft.

WannaKey

"Il software è stato testato su Windows XP, e sappiamo che funziona solo su questa versione", ha scritto Guinet all'interno della nota che accompagna il download dell'applicazione chiamata Wannakey. "Per funzionare il tuo computer non deve essere stato riavviato dopo l'infezione. Da notare inoltre che c'è anche bisogno di un po' di fortuna, visto che l'applicazione potrebbe non funzionare in tutti i casi e su tutti i sistemi infetti da WannaCry". Su internet sono già stati riportati casi in cui il tool non ha avuto alcun effetto, come quello emblematico di Matt Suiche, ricercatore di Comae Technologies e fondatore della società.

WannaCry, noto anche come WCry, è balzato agli onori della cronaca nello scorso fine settimana come uno degli attacchi ransomware di più ampia portata di tutti i tempi. Impedisce l'uso dei file sul computer proteggendoli attraverso una chiave crittografica che viene resa nota al proprietario del sistema solamente dopo il pagamento di un riscatto dai 300 ai 600 Euro. Il ransomware utilizza la Microsoft Cryptographic Application Program Interface per molte delle sue funzioni, come ad esempio la generazione casuale della chiave crittografica per eliminare la protezione dei file.

Dopo averla creata e messa al sicuro, l'interfaccia cancella la chiave su molte delle versioni disponibili di Windows. Una delle funzionalità presenti su Windows XP, tuttavia, può inibire l'eliminazione della chiave, e come risultato i dati originali utilizzati per generare la chiave segreta dal ransomware WCry possono rimanere intatti nella memoria RAM, ovviamente fino a quando quest'ultimo non viene riavviato. WannaKey è in grado di rintracciare queste informazioni, analizzarle, ed estrarne le componenti variabili principali per trovare la chiave.

Ma c'è anche bisogno di molta fortuna, visto che quella parte della memoria RAM potrebbe essere facilmente riallocata o eliminata. Lo scorso venerdì WCry ha colpito più di 200 mila computer in 150 nazioni differenti dopo che qualcuno - la cui identità è ancora ignota - ha utilizzato un tool avanzato sviluppato dalla National Security Agency. L'exploit veniva chiamato dall'agenzia americana EternalBlue, ma è stato modificato per eseguire l'attacco in modo da poter essere replicato automaticamente per generare una serie di attacchi a catena fra più computer.

Il tutto senza richiedere un'interazione manuale da parte dell'aggressore. Un bug in questo lavoro di modifica su EternalBlue, che è pubblico dallo scorso mese di aprile, ha impedito il diffondersi del ransomware sui sistemi con Windows XP. Al momento il tool di Guinet funziona solo sul vecchio SO di Microsoft, e non sappiamo se il ricercatore riuscirà a trovare il bandolo della matassa anche per le versioni più recenti. Al momento il consiglio che possiamo dare a chi ha un PC infetto da WCry è aspettare - se possibile - senza riavviare il proprio sistema.

17 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
zappy19 Maggio 2017, 13:56 #1
LOL win XP è + sicuro di win 10...
frankie19 Maggio 2017, 14:14 #2
no, beh, nella sua insicurezza si può recuperare la chiave di criptazione.
PeK19 Maggio 2017, 14:27 #3
Originariamente inviato da: zappy
LOL win XP è + sicuro di win 10...


nope, win10 è immune
marchigiano19 Maggio 2017, 14:50 #4
Originariamente inviato da: PeK
nope, win10 è immune


sul serio?
Thehacker6619 Maggio 2017, 16:44 #5
Non credo proprio, visto che è specificato anche nella pagina del tool che su Win 10, dove è stato testato, il tool non funziona perchè le chiavi di decrittazione vengono cancellate dalla memoria.
s-y19 Maggio 2017, 16:50 #6
_se_senza essere aggiornato, l'unico immune è il cu (che aveva l'aggiornamento 'embedded')
Averell19 Maggio 2017, 18:42 #7
Originariamente inviato da: s-y
_se_senza essere aggiornato, l'unico immune è il cu (che aveva l'aggiornamento 'embedded')


veramente erano tutti...perchè l'exploit era disegnato per funzionare solo su 7/2008.
Certo, se l'exploit fosse stato programmato anche per l'ultimo OS MS allora si, l'unico non esposto era CU (perchè come dicevi giustamente te aveva la patch 'embedded')...
Eress19 Maggio 2017, 18:44 #8
CVD XP è sempre il meglio, più sicuro e stabile di W10, anche senza patch.
Averell19 Maggio 2017, 18:46 #9
LOL, ma LOL un casino!
s-y19 Maggio 2017, 18:56 #10
Originariamente inviato da: Averell
veramente erano tutti...perchè l'exploit era disegnato per funzionare solo su 7/2008.
Certo, se l'exploit fosse stato programmato anche per l'ultimo OS MS allora si, l'unico non esposto era CU (perchè come dicevi giustamente te aveva la patch 'embedded')...


uhm, in contraddizione con le prime notizie che arrivavano, che davano come vulnerabili le v non aggiornate (dopo il rilascio della patch, lo scorso marzo o giù di li)

tra l'altro ricontrollando, la patch rilasciata lo scorso marzo era indicata anche per win10

qualcosa non torna

edit: https://technet.microsoft.com/en-us...y/ms17-010.aspx

ps: a meno che non si intenda che dopo analisi, si è visto che non era affetto, nel senso che non ne sfruttava la vulnerabilità cmq presente

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^