O pesquisador de segurança Adrien Guinet conseguiu criar uma ferramenta que desencripta os arquivos de computadores infectados com o ransomware WannaCry. Chamada de WannaKey, a ferramenta funciona apenas no Windows XP, mas foi aprimorada por outro pesquisador para funcionar também no Windows 7. Dessa forma, usuários afetados poderão ter seus arquivos de volta sem pagar o valor de US$ 300 a US$ 600 em bitcoins pedidos pelos cibercriminosos.
Para desenvolver a ferramenta de decriptografia, Adrien precisou estudar como que o WannaCry gerava a sua própria chave criptográfica. O pesquisador descobriu que o ransomware baseia sua chave em dois números primos. A chave privada, que poderia ser usada para desbloquear os arquivos, é deletada assim que o computador é infectado e tem seus dados sequestrados/bloqueados. Isso impede que o próprio usuário consiga desencriptar os seus arquivos de forma simples.
WannaKey em ação no Windows XP (Foto: Reprodução/Adrien Guinet)
Porém, há uma brecha nesse procedimento realizado pelo WannaCry. O vírus não apaga os números primos que serviram de base para gerar a chave privada da memória RAM. Ao descobrir isso, Guinet conseguiu criar o que chamou de WannaKey, e que diz ter funcionado com sucesso.
O WannaKey acessa a memória RAM e permite encontrar os números primos. Faz os cálculos necessários para gerar a chave privada que desbloqueia os arquivos do PC. Porém, só funciona no Windows XP.
Um aprimoramento para as versões mais recentes
...
Para versões mais recentes do sistema, como o Windows 7, é preciso usar uma outra ferramenta: a Wanakiwi. Desenvolvida pelo pesquisador Benjamin Delpy, baseia-se na WannaKey. Porém, é mais simplificada.
Aprimoramento da ferramenta sendo usada no Windows 7 (Foto: Reprodução/Benjamin Delpy)
Faz todas as ações necessárias de forma automática: encontra os números primos, faz os cálculos para gerar a chave privada, desbloqueia os arquivos do PC e ainda gera arquivos que são compatíveis com o WannaCry e o impedem de infectar novamente o computador. Segundo o seu criador, a Wanakiwi já foi testada com sucesso no Windows XP, Windows Vista, Server 2003, Windows 7 e Server 2008.
Observação importante
É de suma importância salientar que o computador infectado não deve ser reiniciado. Como os números primos ficam salvos na memória RAM, todos os dados contidos nela também serão apagados se for desligado. Isso eliminaria qualquer chance de desbloqueio dos arquivos. Os dois pesquisadores publicaram as ferramentas gratuitamente no GitHub.
Procurada, a Kaspersky no Brasil confirmou que o procedimento só funciona para quem não desligou o PC. "Ainda não testamos a ferramenta para poder garantir que ela funciona, mas segundo as informações publicadas, com este método [WannaKey] é possível recuperar as chaves somente para Windows XP e se o computador não tiver sido reiniciado ou desligado desde o momento da infecção", afirmam.
Um breve histórico
Na sexta-feira passada (12) o ransomware WannaCry infectou milhares de computadores em mais de 100 países, bloqueando o acesso aos arquivos e exigindo um pagamento em bitcoin como resgate e conquista da chave.
Enquanto isso, um britânico de 22 anos descobriu, acidentalmente, uma forma de parar o WannaCry, mesmo que temporariamente. Com exceção da descoberta do jovem britânico e das duas ferramentas de descriptografia mostradas nesta matéria, ainda não há uma forma eficaz de combater o WannaCry com uma chave mestra, apenas a prevenção.
A primeira plataforma que conecta o proprietário à imobiliária e/ou corretor de imóveis com o foco em potencializar as vendas e torná-las mais seguras maximizando o tempo do corretor.
