2017/05/19

Ficheiros encriptados pelo ransomware WCry em Windows XP podem ser recuperados


Boas notícias para quem tiver sido vítima da recente vaga de ransomware e ainda utilizar o velhinho Windows XP: aparentemente é possível recuperar a chave de encriptação e decifrar os ficheiros sem ter que pagar o resgate.

O programa de recuperação "Wannakey" ainda não foi testado num grande número de máquinas, pelo que ainda há que validar se funcionará para todos os casos. No entanto, há algumas limitações que poderão complicar a sua utilização a quem tiver sido vítima do WannaCry num Windows XP: a primeira - como já referido - é que este recuperador só trabalha mesmo para infecções no Windows XP (bem se gostaria de algo idêntico para o Windows 7, 8 e 10); a segunda, é a de que o computador não poderá ter feito reboot desde a infecção para ser possível recuperar a chave de encriptação utilizada.

Será também necessária uma boa dose de sorte, para que o local da memória onde se encontra este chave ainda esteja intacto (o que será difícil se o utilizador começar a pesquisar a internet nesse mesmo computador em procura de soluções). Ou seja, seria necessário que o utilizador, depois de ficar infectado, não fizesse absolutamente nada a não ser correr este programa de recuperação.

De qualquer forma fica a informação. Mesmo que não ajude os casos em que os utilizadores já fizeram reboot ou mexeram demasiado na máquina, poderá vir a ser útil caso venham a deparar-se com um XP acabado de ficar infectado com este ransomware. (Mas mais útil será terem backups em dia... e decidirem-se a utilizar um sistema operativo mais recente e menos vulnerável.)


Actualização: afinal também pode recuperar chaves no Windows 7 e outras versões (anteriores ao Windows 10), mas entretanto já foi lançada nova ferramenta mais simples de usar: a wanawiki.

2 comentários:

  1. Segundo este artigo: http://thehackernews.com/2017/05/wannacry-ransomware-decryption-tool.html
    Funciona para "which works on Windows XP, Windows 7, Windows Vista, Windows Server 2003 and 2008 operating systems"

    ResponderEliminar
    Respostas
    1. Bem, o que ele diz é que no Windows 10 já não funciona: "under Windows 10, CryptReleaseContext does cleanup the memory (and so this recovery technique won't work). It can work under Windows XP because, in this version, CryptReleaseContext does not do the cleanup." - https://github.com/aguinet/wannakey

      Faltará confirmar se no Windows 7 a memória também não é limpa automaticamente...

      Eliminar

[pub]