WannaCry, come decriptare i file senza pagare il riscatto anche su Windows 7

WannaCry, come decriptare i file senza pagare il riscatto anche su Windows 7

Un nuovo tool rilasciato da sviluppatori francesi consente di decriptare i file di un sistema infetto con WannaCry senza pagare il riscatto

di pubblicata il , alle 13:41 nel canale Sicurezza
 

Nel week-end abbiamo parlato di WannaKey, il software che consente di rilevare la chiave crittografica utilizzata dal ransomware WCry per sbloccare i file del PC infetto senza pagare il riscatto. WannaKey funziona però solo su Windows XP, e abbiamo già visto come il ransomware abbia coinvolto soprattutto gli utenti Windows 7. Quindi era, per la maggior parte degli utenti coinvolti, sostanzialmente inutile. A far crescere le speranze è un nuovo tool rilasciato da ricercatori francesi che funziona anche su Windows 7, a patto come al solito di non riavviare.

Le versioni del SO supportate sono: Windows 7, Windows 2003, Windows Vista, Windows Server 2008, 2008 R2, e XP. Il nuovo strumento per decriptare i file senza pagare il riscatto se il proprio PC è infetto da WCry (o WannaCry) si chiama wannakiwi e, come WannaKey, costruisce la chiave che usa il ransomware per inibire l'accesso ai file presenti sul sistema. Il cofondatore di Comae, Matt Suichem riporta che wannakiwi funziona, ed anche l'Europol ne ha certificato l'affidabilità. Maggiori dettagli tecnici - riportati da Matt Suiche, possono essere trovati qui.

Wannakiwi e WannaKey sono molto simili: entrambi infatti sfruttano alcuni bug nella Microsoft Cryptographic Application Programming Interface adottata da WCry per la generazione delle chiavi crittografiche e la decriptazione dei file. Sebbene l'interfaccia di Windows utilizzi funzioni per la cancellazione della chiave dalla memoria del computer una volta resa sicura, alcune limitazioni precedentemente trascurate fanno in modo che i numeri originali utilizzati per la creazione della chiave vengano preservati nel computer e che possano essere recuperati.

Il tutto però fino al riavvio: wanakiwi è in grado di analizzare la memoria dei sistemi, estrarre alcune variabili su cui si basa la chiave e generare quella completa, su sistemi che non sono stati mai riavviati dall'infezione. Lo strumento utilizza infine la chiave per decriptare tutti i file resi inaccessibili dal ransomware Wcry. Gli sviluppatori sostengono di essere riusciti a sbloccare i file su parecchi PC, affermando inoltre che wanakiwi offre diverse migliorie rispetto a Wannakey, come la UI punta e clicca e la capacità di generare la chiave finale senza l'ausilio di altri tool esterni.

È pertanto sufficiente "scaricare wanakiwi e, se la chiave può essere ricostruita, il tool la estrae, la ricostruisce e inizia la decriptazione di tutti i file sull'unità". Quindi, alla luce delle novità e dei nuovi tool rilasciati, il consiglio rimane sempre quello di non riavviare i PC se vengono infettati dal ransomware WannaCry, o derivati. Anche nel caso di mancato riavvio wannakiwi potrebbe fallire nella generazione della chiave, visto che il settore della memoria in cui è salvata può essere riallocato. Inoltre il funzionamento dello strumento non è garantito con i sistemi con CPU x64.

In ogni caso WannaKey e wannakiwi sono attualmente gli strumenti più efficaci per riottenere i file sui sistemi infetti da Wcry, pur con tutte le loro limitazioni.

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
tallines22 Maggio 2017, 13:45 #1
Forti sti francesi ehhhh

Interessante l' articolo per chi ha avuto problemi con W7, che è il SO che è stato attaccato di più .
dr-omega22 Maggio 2017, 15:44 #2
Quindi bisogna non farsi prendere dal panico, scollegare il cavo di rete (per evitare di criptare dischi di rete), attendere che il virus finisca il suo lavoro, quindi usare il tool per decriptare e per ultimo l'antivirus per rimuovere il malware, giusto?

Sai mai che potesse servire...(sgratt sgratt)
rockroll22 Maggio 2017, 19:20 #3
Originariamente inviato da: dr-omega
Quindi bisogna non farsi prendere dal panico, scollegare il cavo di rete (per evitare di criptare dischi di rete), attendere che il virus finisca il suo lavoro, quindi usare il tool per decriptare e per ultimo l'antivirus per rimuovere il malware, giusto?

Sai mai che potesse servire...(sgratt sgratt)


Giusto direi.
Ma non so quanti, nella concitazione del momento, avrebbero il coraggio di aspettare che WCry finisca il suo lavoro.
Ls cosa migliore resta il back-up tenuto fuori linea, che preserva da tutto, non solo da WCry e varianti succssive.
zappy23 Maggio 2017, 12:06 #4
Originariamente inviato da: rockroll
...Ma non so quanti, nella concitazione del momento, avrebbero il coraggio di aspettare che WCry finisca il suo lavoro....

infatti... il rischio è che poi NON riesci a decrittare...
forse ibernando... ma non sono sicuro che davvero venga salvata un'immagine 1:1 della RAM, specie se bisogna andare a ripescare frammenti di dati in locazioni che teoricamente sono considerate riallocabili dal SO.
forse si può staccare brutalmente il cavo sata dall'HD e copiarsi (con altro PC) i dati non ancora crittati, poi rimetterlo sul pc infetto... dipende da come reagisce il SO alla perdita subitanea di un'unità montata ed al successivo reinserimento.
Zenida23 Maggio 2017, 19:49 #5
Originariamente inviato da: zappy
infatti... il rischio è che poi NON riesci a decrittare...
forse ibernando... ma non sono sicuro che davvero venga salvata un'immagine 1:1 della RAM, specie se bisogna andare a ripescare frammenti di dati in locazioni che teoricamente sono considerate riallocabili dal SO.
forse si può staccare brutalmente il cavo sata dall'HD e copiarsi (con altro PC) i dati non ancora crittati, poi rimetterlo sul pc infetto... dipende da come reagisce il SO alla perdita subitanea di un'unità montata ed al successivo reinserimento.


L'ibernazione crea un'immagine su disco della RAM, ma solo dei settori effettivamente in uso. Quindi perderesti la chiave al riavvio.
Infatti l'immagine dell'ibernazione non è sempre della stessa dimensione ed è sempre <= alla dimensione della RAM

SATA prevede un hotplug (ma non tutte la MB lo implementano), quindi se lo scolleghi rischi la perdita di alcuni dati e il crash del sistema (con conseguente cancellazione della RAM)

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^