WannaCry : une parade trouvée… grâce à une lacune de Windows

À lire : Ransomware WannaCry : son impressionnant bilan en huit chiffres Chiffrer la clé de chiffrement

Lorsqu’il s’attaque à un PC, WannaCry génère deux clés pour chiffrer les données. La première est publique, la seconde est privée. Une fois le malware installé, la clé privée est elle-même chiffrée. De ce nouveau chiffrement découle une clé maître, détenue par les hackers. Une fois la rançon payée, ils pourront l’envoyer à la machine, déchiffrant la clé privée, qui permettra de déchiffrer les fichiers pris en otage.

Pour générer sa clé de chiffrement, WannaCry fait appel aux fonctions cryptographiques de Windows. Or celles-ci semblent contenir quelques faiblesses : avant d’être chiffrée, la clé privée est brièvement inscrite dans la mémoire vive, en clair. C’est là qu’interviennent Adrien Guinet, Matthieu Suiche et Benjamin Delpy. Leur idée est d’exploiter cette brève apparition pour retrouver la clé. Bien que la version non chiffrée de la clé privée soit rapidement effacée, le nettoyage laisse quelques restes, parfois exploitables.

Updated blogpost ! I confirm wanakiwi decryption tool for #WannaCry also works with Windows 7 too ! https://t.co/4JXMdkeqEH

View the Original article