Le chercheur de sécurité français Adrien Guinet a découvert un moyen de décrypter les fichiers verrouillés par l’infâme ransomware WannaCry sur les PC Windows XP.
Le chercheur de sécurité français Adrien Guinet a publié un outil gratuit, baptisé Wannakey, qui récupère la clé RSA privée utilisée par WannaCry, alias WCry ou WannaCrypt, pour chiffrer les fichiers. L’autre méthode, peu recommandée, est de payer les hackers 300 $ en bitcoin.
Il existe cependant plusieurs réserves à la solution proposée par le chercheur en sécurité français. Cela fonctionne uniquement pour Windows XP et uniquement si la machine n’a pas été redémarrée après l’infection. L’outil recherche les nombres premiers de la clé privée dans wcry.exe, le processus responsable de la génération de la clé privée de WannaCry, qui restera en mémoire jusqu’à ce qu’un redémarrage se produise.
Comme l’explique Guinet sur la page GitHub de Wannakey, les auteurs de WannaCry utilisaient correctement l’interface de protocole d’application Windows Crypto (API). Cependant, Microsoft a conçu les fonctions de l’API CryptDestroyKey et CryptReleaseContext de manière à « ne pas effacer les nombres premiers de la mémoire avant de libérer la mémoire associée ».
La technique de récupération ne fonctionne pas sur Windows 10 car l’OS efface cette mémoire, alors que Windows XP ne le fait pas.
« Si vous êtes chanceux, c’est que la mémoire associée n’a pas été réaffectée et effacée, ces nombres premiers pourraient encore être en mémoire. C’est ce que ce logiciel essaie d’atteindre », a déclaré Guinet.
L’outil peut être utile pour les utilisateurs de XP infectés par WannaCry, mais un outil similaire pour Windows 7 aurait un impact plus important sur les victimes telles que le service public de la santé britannique (NHS) qui a été durement touché par la récente attaque de ransomware.
Comme l’a souligné le chercheur de sécurité Kevin Beaumont, l’exploit Eternal Blue de la NSA que les hackers ont utilisé pour diffuser le ransomware une fois dans un réseau ne peuvent pas être utilisés pour infecter des machines sous Windows XP sur ce réseau.
Ainsi, WannaCrypt peut verrouiller les fichiers Windows XP, mais les PC XP ne sont pas vulnérables au mécanisme de diffusion, qui a exploité un défaut dans le protocole du serveur SMB (Server Message Block).
Cependant, le composant du ver a fonctionné sur Windows 7 et Windows Server 2008 R2.
Selon Beaumont, les infections sur ces versions de Windows sont majoritairement responsables des problèmes au service public de la santé britannique. Bien que 90% des organisations du NHS aient encore Windows XP sur certaines machines, seulement 5% de toutes les machines du NHS exécutent Windows XP.
