Adrien Guinet, một nhà nghiên cứu an ninh người Pháp của Quarkslab, đã phát hiện ra cách để lấy được khoá mã hóa bí mật để giúp nạn nhân giải mã miễn phí WannaCry ransomware, nó hoạt động trên các hệ điều hành Windows XP, Windows 7, Windows Vista, Windows Server 2003 và 2008.
Lược đồ mã hóa của WannaCry hoạt động bằng cách sinh ra một cặp khóa trên máy tính của nạn nhân dựa vào số nguyên tố, để mã hóa và giải mã các tập tin của hệ thống tương ứng.
(1 – Sinh khóa trong bộ nhớ 2 – Ngay sau khi sinh khóa là xóa khóa)
Để ngăn nạn nhân truy cập vào khoá bí mật và tự giải mã các tập tin bị khóa, WannaCry xóa chúng khỏi hệ thống, không để nạn nhân lấy lại khóa giải mã trừ khi trả tiền chuộc cho kẻ tấn công.
Theo Guinet, tuy nhiên WannaCry “không xoá những số nguyên tố khỏi bộ nhớ trước khi giải phóng bộ nhớ liên quan”. Dựa trên phát hiện này, Guinet đã phát hành một công cụ giải mã WannaCry ransomware có tên WannaKey. Về cơ bản nhằm lấy ra hai số nguyên tố, được sử dụng để tạo ra các khoá mã hóa từ bộ nhớ, và hiện công cụ chỉ hoạt động trên Windows XP.
Phương pháp này sẽ chỉ hoạt động nếu:
- Máy tính bị ảnh hưởng chưa được khởi động lại sau khi bị nhiễm.
- Bộ nhớ liên quan chưa được phân bổ và xóa bởi một số tiến trình khác.
Ngoài ra, nhược điểm của WannaKey là công cụ này là sử dụng những số nguyên tố để tạo khóa giải mã một cách thủ công để giải mã tệp tin bị nhiễm WannaCry.
Nhà nghiên cứu bảo mật Benjamin Delpy đã phát triển một công cụ dễ sử dụng được gọi là “WanaKiwi” dựa trên phát hiện của Guinet, giúp đơn giản hoá toàn bộ quá trình giải mã tệp WannaCry.