Si vous faites partie des nombreuses victimes du ransomware WannaCry et que votre PC a été infecté, sachez que vous avez désormais une chance de récupérer vos fichiers verrouillés sans payer la rançon de 300 dollars aux cybercriminels.
Adrien Guinet, un chercheur français en sécurité de chez Quarkslab, a en effet découvert un moyen de récupérer gratuitement les clés de chiffrement secrètes utilisées par le ransomware WannaCry. L’outil fonctionne sur les systèmes d’exploitation Windows XP, Windows 7, Windows Vista, Windows Server 2003 et 2008.
Le système de chiffrement de WannaCry fonctionne en générant une paire de clés sur l’ordinateur de la victime qui s’appuient sur des nombres premiers, une clé «publique» et une clé «privée» pour respectivement chiffrer et déchiffrer les fichiers du système. Pour empêcher la victime d’accéder à la clé privée et de déchiffrer les fichiers verrouillés lui-même, WannaCry efface la clé du système, ne laissant aucun choix aux victimes pour récupérer le précieux sésame, sauf en payant la rançon à l’attaquant.
Mais voici l’astuce ingénieuse découverte par le chercheur français Guinet : WannaCry n’efface pas les nombres premiers de la mémoire avant de libérer la mémoire associée. Du coup, Guinet a publié un outil de déchiffrement du ransomware, appelé WannaKey (disponible sur GitHub), qui tente essentiellement de récupérer les deux nombres premiers, utilisés dans la formule pour générer des clés de chiffrement en mémoire système via l’API Windows Crypto (qui est bien utilisée et implémentée sans erreur par l’auteur du malware soit dit en passant).
“L’outil recherche dans le processus wcry.exe. Il s’agit du processus qui génère la clé privée RSA. Le problème principal est que CryptDestroyKey et CryptReleaseContext n’effacent pas les nombres premiers de la mémoire avant de libérer la mémoire associée“, explique Guinet.
Attention, tout cela se passe en RAM, ce qui implique deux choses pour que le processus de récupération de la clé fonctionne :
- L’ordinateur affecté ne doit pas avoir été redémarré après l’infection
- La mémoire associée au ransomware ne doit pas avoir été attribuée et effacée par un autre processus.
Il faudra donc pas mal de chance pour que ça puisse fonctionner. Et une fois les nombres premiers retrouvés, il faudra ensuite être capable de générer la clé de déchiffrement à partir de ces derniers !
C’est ici qu’intervient un second chercheur en sécurité, Benjamin Delpy, qui a développé un autre utilitaire en se basant sur la découverte de Guinet. Ce dernier simplifie le processus de déchiffrement des fichiers impactés par WannaCry. Pour l’utiliser, les victimes doivent télécharger l’outil WanaKiwi publié sur GitHub. Il suffit ensuite de l’exécuter via l’invite de commande cmd sur l’ordinateur Windows concerné par le problème.
Bien que l’outil ne fonctionnera pas à tous les coups pour chaque utilisateur en raison de ses dépendances, il reste un bon espoir pour les victimes de WannaCry de récupérer leurs fichiers verrouillés gratuitement, et ce, même sous Windows XP, qui n’est plus supporté par Microsoft.
Notons que ceux ayant un système Linux (n’importe quelle distribution) sont hors de danger de la menace WannaCry puisque ce dernier exploit une vulnérabilité SMB Windows.
Les commentaires sont fermés.