In un precedente articolo di questo blog abbiamo già avuto modo di parlare di WannaCry; un ransomware che, sfruttando una nota vulnerabilità di windows ha infettato e crittato i dati di centinaia di migliaia di sistemi informatici nel mondo.
Come già avuto modo di spiegare un ransomware funziona crittando con una chiave segreta tutti i dati di un host infettato, per poi chiedere un riscatto ( di solito in bitcoin) alla vittima per decrittarne i dati fornendogli la chiave di decifratura.
Senza chiave di decrittazione i dati sono irrimediabilmente persi e inutilizzabili.
E chi ti vende la chiave fa un sacco di soldi, ovviamente!
La buona notizia però è che alcuni ricercatori sono riusciti a fare reverese-engeneering del ransomware e a capire come il malware genera le chiavi.
Capito questo hanno quindi prima di tutto creato un programma che genera le chiavi di decrittazione del malware WannaKey
La brutta notizia però è che ( non mi dilungo nei dettagli tecnici) questo progrmma funziona solo se:
The affected computer has not been rebooted after being infected.
The associated memory has not been allocated and erased by some other process.
Per fortuna però che un altro ricercatore di sicurezza Benjamin Delpy ha siluppato da solo un tool che scavalca questo limite e offre un praticissima GUI per decrittare i propri dati!
Il tool si chiama WannaKiwi ed è disponibile su github.
Per cui pare esserci speranza per tutti quei (cattivi!) amministratori di sistema che non hanno tenuto aggiornato il proprio sistema.