Il ransomware WannaCry che ha bloccato l’accesso ai file su migliaia di computer in tutto il mondo, chiedendo il pagamento di un riscatto, può essere neutralizzato mediante due tool sviluppati da due ricercatori di sicurezza. WannaKey e WanaWiki possono decifrare i file su tutte le versioni del sistema operativo Microsoft, da Windows XP a Windows 7, ma solo se il PC non viene riavviato. Quest’ultima è una condizione necessaria per il successo dell’operazione.
WannaCry genera una coppia di chiavi crittografiche RSA (pubblica e privata) per cifrare e decifrare i file presenti sul computer. La generazione delle chiave privata utilizzata per decifrare i file (se l’utente paga il riscatto) è basata sui numeri primi. Le funzioni CryptDestroyKey
e CryptReleaseContext
delle Windows Crypto API dovrebbero cancellare i numeri primi dalla memoria, ma ciò non avviene correttamente. I tool WannaKey e WanaWiki possono quindi recuperare questi numeri, generare la chiave privata e decifrare i file, evitando il pagamento del riscatto.
C’è però una condizione da rispettare in maniera tassativa. Il metodo funziona solo se il computer non viene riavviato e se la memoria associata non è stata riallocata o sovrascritta da un altro processo. È quindi consigliabile scaricare i tool da un secondo PC e copiarlo su una pen drive USB. In ogni caso il successo dell’operazione non è garantita al 100%, ad esempio sui computer con Windows a 64 bit.
Per non correre nessun rischio è fortemente consigliata l’installazione della patch MS17-010 rilasciata a marzo da Microsoft che risolve la vulnerabilità nel server SMB sfruttata da WannaCry.