WannaCry: è pronto il decriptatore

Se è vero che i file cifrati da WannaCry sono indecifrabili perché una delle chiavi di cifratura viene cancellata dal disco fisso dopo il passaggio del virus, è anche vero che alcuni ricercatori hanno scoperto che in memoria i numeri primi su cui è basato l’algortimo di cifratura non vengono cancellati.

Quindi se il computer infettato NON è stato riavviato allora c’è possibilità di recuperare i dati.

Il decryptor in questione si carica in memoria, scopre i numeri primi usati per crare la cifratura e provvede a rimettere in chiaro i file. L’eseguibile può essere scaricato da GitHub.

I file cifrati (.WNCRY) restano sul computer anche dopo il processo di decrittazione; il file pulito viene creato ex novo, quindi sul computer avremo due file: uno cifrato e uno in chiaro.

Per vedere il funzionamento di WannaCry e del successivo “lancio” del decryptor consiglio questo video .

Dopo aver recuperato i file è opportuno farne immediatamente un backup.

Informazioni più particolareggiate nel post di Matt Suiche, ricercatore che ha contribuito al lavoro contro questo virus.

Questa voce è stata pubblicata in Virus. Contrassegna il permalink.