Les propriétaires de certains ordinateurs Windows XP infectés par le rançongiciel Wcry pourront récupérer leurs données sans avoir à débourser les près de 300 euros que réclament les criminels, selon un chercheur.
Le chercheur de Quarkslab Adrien Guinet a publié un logiciel qui lui a permis de récupérer la clé de chiffrement secrète d’un ordinateur XP infecté dans son laboratoire et ainsi de la restaurer.
Le logiciel n’a pas encore été testé pour voir s’il fonctionne sur tous les ordinateurs XP. Même si c’était le cas, cette technique n’aidera pas beaucoup non plus car les ordinateurs Windows XP n’ont pas été touchés par l’infection WCry de la semaine dernière. Cependant, cela peut être utile pour les utilisateurs de XP confrontés à d’autres attaques de ce même rançongiciel.
« Ce logiciel n’a été testé que sur Windows XP et nous savons qu’il fonctionne sur Windows XP », écrit-il dans une note accompagnant son application, qu’il appelle Wannakey. « Pour que cela fonctionne, il se peut que votre ordinateur n’ait pas été redémarré depuis qu’il a été infecté. Vous devez également garder à l’esprit que vous avez besoin d’un peu de chance pour le faire fonctionner, donc cela peut ne pas fonctionner dans tous les cas. »
WCry, également connu sous le nom de WannaCry, crypte tous les fichiers sur l’ordinateur après avoir infecté un ordinateur et demandé aux propriétaires de payer une rançon d’environ 300 euros pour obtenir les clés de cryptage nécessaires pour restaurer un ordinateur en fonctionnement normal.
ransomware utilise l’API Microsoft Encryption incluse dans Windows pour contrôler plusieurs de ses fonctions, y compris la génération de la clé pour chiffrer et déchiffrer les fichiers. Après avoir créé et protégé la clé, l’interface supprime la clé dans la plupart des versions de Windows.
Cependant, une limitation de Windows XP peut empêcher la suppression de la clé mémoire dans cette version de Windows. Par conséquent, les nombres premiers utilisés pour générer la clé secrète WCry restent dans la mémoire de l’ordinateur jusqu’à ce que l’ordinateur soit éteint. Wannakey peut analyser la mémoire d’une machine XP infectée et extraire les variables p et q sur lesquelles la clé secrète est basée.
« Si vous avez de la chance et que la mémoire associée n’a pas été réaffectée et effacée, ces nombres premiers peuvent encore être en mémoire », écrit Ginet.
Le lecteur a également écrit sur Twitter : « Je dois terminer le processus de décryptage et confirmer que, dans certains cas, la clé privée peut être récupérée à partir d’un système XP » Il inclut même la capture de l’appareil auquel il dirige cet article.
Pour l’instant, rien n’indique que la limitation qui a permis à Guinet de récupérer la clé du rançongiciel WCry soit présente dans les versions ultérieures de Windows. Cela signifie que les victimes de WCry dans d’autres versions n’ont aucun moyen connu de décrypter leurs données autre que de payer la rançon.
En tout cas, la découverte de Guinet est porteuse d’espoir. Toute personne infectée par WCry doit éviter de redémarrer son ordinateur et d’attendre que l’enquête progresse.
