Ferramenta recupera arquivos sequestrados pelo WannaCry sem pagar resgate

Ainda há esperança: usuários afetados pelo WannaCry poderão recuperar seus arquivos sem pagar o resgate de US$ 300 a 600 em bitcoins. O pesquisador de segurança Adrien Guinet estudou a forma como o ransomware gera a chave de criptografia e criou uma ferramenta para desbloquear os dados. Ela foi aprimorada para funcionar inclusive em versões mais recentes do Windows, como o Windows 7.

O WannaCry se baseia em dois números primos para gerar as chaves de criptografia. Depois que os arquivos são sequestrados, a chave privada é excluída para evitar que o próprio usuário consiga descriptografar seus dados. No entanto, Guinet descobriu que o WannaCry não limpa os números primos da RAM. A ferramenta, então, consegue recuperá-los e fazer os cálculos para voltar com os arquivos originais.

Outro pesquisador de segurança, chamado Benjamin Delpy, criou nesta sexta-feira (19) o Wanakiwi, que é baseado na ferramenta de Guinet, mas simplifica o processo. Ele encontra os números primos automaticamente, descriptografa os dados e cria arquivos compatíveis com o ransomware, que também evitam que o WannaCry entre em atividade novamente na máquina.

Este GIF mostra o Wanakiwi descriptografando arquivos em um computador com Windows 7:

Como os números primos utilizados na criptografia ficam armazenados temporariamente na RAM, é importante que o computador não seja reiniciado depois de infectado, caso contrário, o Wanakiwi não funciona. Ainda não há um método conhecido para descriptografar arquivos em máquinas reinicializadas sem pagar o resgate exigido pelos criminosos.

Você pode baixar o Wanakiwi gratuitamente no GitHub. A ferramenta funciona por meio do Prompt de comando e já foi testada com sucesso no Windows XP, Windows 7, Windows Vista, Windows Server 2003 e Windows Server 2008.

Fonte: TecnoBlog