Операционная система Windows XP вошла в перечень пораженных вымогательской программой WannaCry в ходе кибератаки 12 мая. Хотя корпорация Microsoft выпустила обновления для исправления уязвимости, множество компьютеров пострадало вследствие активности вредоносной программы. Однако исследователю информационной безопасности из Франции Адриану Гине удалось разработать утилиту, которая позволяет удалять WannaCry из системы без выплаты выкупа.
Примечательно, что утилита функционирует лишь, если после инфицирования пользователь не осуществил перезагрузку компьютера. Если был произведен перезапуск системы, и WannaCry зашифровал данные, то инструмент от Гине не решит проблему.
Утилита, разработанная Гине, ведет поиск ключа для расшифровки в памяти компьютера и может восстанавливать простые числа закрытого RSA-ключа, который применяется WannaCry. По словам эксперта, его разработка ведет поиск чисел в процессе wcry.exe, который генерирует закрытый RSA-ключ.
После того, как WannaCry зашифровала закрытый ключ, его незашифрованная версия стирается из памяти зараженного компьютера посредством функционала CryptReleaseContext. Однако, как отметил Гине, функции CryptDestroyKey и CryptReleaseContext удаляют лишь маркер, который указывает на ключ, но не числа, вследствие чего закрытый ключ может быть извлечен из памяти.
Утилита функционирует лишь на Windows XP и не проверялась на других версиях операционной системы. Инструмент опубликован на сайте GitHub.