Xuất hiện công cụ có thể giải mã tập tin bị khóa bởi mã độc WannaCry

Mới đây, chuyên gia nghiên cứu an ninh mạng của Pháp – Adrien Guinet đã tìm ra phương thức giải mã các tập tin bị khóa bởi mã độc tống tiền WannaCry, đang gieo rắc nỗi kinh hoàng cho an ninh mạng toàn cầu trong tuần qua.

Ngày 20/5, Guinet đã xuất bản một công cụ giải mã miễn phí mang tên WannaKey tại trang TheNextWeb, người dùng có thể mở khóa các tập tin bị mã hóa bởi mã độc, thay vì phải thanh toán số tiền Bitcoin tương đương 300 USD cho hacker.

Điều đáng chú ý là công cụ giải mã này chỉ hoạt động với Windows XP và chỉ khi máy tính này chưa từng khởi động lại sau khi nhiễm mã độc WannaCry. Được biết nguyên nhân là do WannaKey có chức năng tìm kiếm số nguyên tố của khóa mã hóa trong tập tin wcry.exe giúp tạo ra khóa WannaCry và vẫn còn trong bộ nhớ cho đến khi hệ thống được khởi động lại.

Guinet đã giải thích trên GitHub rằng tác giả viết ra WannaCry sử dụng giao diện ứng dụng giao thức ứng dụng Windows Cryto (API). Tuy nhiên, Microsoft đã thiết kế chức năng API CryptDestroyKey và CryptReleaseContext để không xóa các số nguyên tố khỏi bộ nhớ trước khi giải phóng bộ nhớ liên quan.

Video giải mã WannaCry bằng WannaKey

Nếu may mắn thì đó chính là bộ nhớ liên quan đến việc mã hóa tập tin từ WannaCry và chúng vẫn có thể được lưu trữ. Đây là nguyên tắc mà ông dùng để phát triển công cụ WannaKey, nhưng đáng tiếc, công cụ này chỉ có ý nghĩa với hệ điều hành Windows XP mà thôi.

Nếu công cụ này có thể dùng cho Windows 7 thì hẳn có rất nhiều nạn nhân sẽ được cứu bởi hiện Windows 7 là hệ điều hành phổ biến nhất trên thế giới và có tỷ lệ bị nhiễm loại mã độc này cao nhất hiện nay.