Il y a encore de l’espoir : les utilisateurs touchés par WannaCry pourront récupérer leurs fichiers sans avoir à payer la rançon de 300 à 600 € en bitcoins. Le chercheur en sécurité Adrien Guinet a étudié comment les logiciels de rançon génèrent la clé de cryptage et a créé un outil pour déverrouiller les données. Il a été amélioré pour fonctionner même dans les versions les plus récentes de Windows, comme Windows 7.
WannaCry s’appuie sur deux nombres premiers pour générer les clés de cryptage. Après le détournement des fichiers, la clé privée est supprimée pour empêcher l’utilisateur de pouvoir décrypter lui-même les données. Cependant, Guinet a découvert que WannaCry n’efface pas les nombres premiers de la mémoire vive. L’outil est alors en mesure de les récupérer et de faire les calculs pour revenir avec les fichiers originaux.
Un autre chercheur en sécurité, nommé Benjamin Delpy, a créé ce vendredi (19) le Wanakiwi, qui est basé sur l’outil de Guinet, mais simplifie le processus. Il trouve automatiquement les nombres premiers, décrypte les données et crée des fichiers compatibles avec les logiciels de rançon, ce qui empêche également WannaCry de fonctionner à nouveau sur la machine.
Ce GIF montre des fichiers de décryptage Wanakiwi sur un ordinateur Windows 7 :
Et avec Windows XP :
Comme les nombres premiers utilisés dans le cryptage sont stockés temporairement dans la mémoire vive, il est important que l’ordinateur ne redémarre pas après avoir été infecté, sinon le Wanakiwi ne fonctionnera pas. Il n’existe toujours pas de méthode connue pour décrypter les fichiers sur les machines redémarrées sans payer la rançon exigée par les criminels.
Vous pouvez télécharger Wanakiwi gratuitement sur GitHub. L’outil fonctionne à l’invite de commande et a été testé avec succès sur Windows XP, Windows 7, Windows Vista, Windows Server 2003 et Windows Server 2008.
