 |
| Check Point alerta que WannaCry não envia chave de descriptografia mesmo se pagar. |
Não pague o resgate exigido pelo ransomware WannaCry. É o que alerta a empresa de segurança da informação Check Point. [ Confira o artigo em inglês aqui ]
Agora, vamos explicar por que:
Até a presente momento, as 3 contas bitcoin associadas ao ransomware WannaCry acumulou mais de US$ 55.000 juntas. Apesar disso, nenhum caso foi relatado de qualquer pessoa recebendo seus arquivos de volta.
O próprio processo de descriptografia é problemático, para dizer o mínimo.
Ao contrário de seus concorrentes no mercado do ransomware, WannaCry não parece ter uma maneira de associar um pagamento à pessoa que o faz. A maioria dos ransomware, como o Cerber , geram um ID exclusivo e uma carteira bitcoin para cada vítima e, portanto, sabem para quem enviar as chaves de descriptografia. WannaCry, por outro lado, só pede que você faça um pagamento, e então... Espere. Você pode pressionar o botão "Verificar pagamento", mas até agora este é o único resultado:
 |
| "PAGAMENTO NÃO CONFIRMADO" |
A maioria dos ransomware "orgulha-se" no apoio ao "cliente", e geralmente são muito fáceis de contatar. Novamente, não é o caso do WannaCry. A única maneira de entrar em contato com os criadores de malware é através da opção "Fale conosco" na tela da nota de resgate. Apesar dos pesquisadores da Check Point se esforçarem, ninguém conseguiu a tal chave.
Por fim, a pesquisa até agora coloca em questão a capacidade dos criadores do WannaCry para descriptografar seus arquivos. O malware contém duas rotinas de descriptografia / criptografia separadas - uma para a maioria dos arquivos das vítimas, criptografada com uma chave única por arquivo. Para descriptografar os arquivos, uma chave RSA privada é necessária dos criadores, que são supostamente para entregá-lo em um arquivo ".dky".
A segunda rotina de criptografia / descriptografia é para os 10 arquivos que você pode descriptografar como uma "demonstração gratuita" - como se para garantir o descifrado vítimas de seus arquivos é possível, e persuadi-los a pagar o resgate. Esses 10 arquivos específicos são escolhidos aleatoriamente durante o tempo de criptografia, e também são criptografados com uma chave única por arquivo. No entanto, a chave RSA privada para estes 10 é armazenada localmente no computador da vítima. Como você pode ver abaixo:
 |
| FIGURA A. |
 |
| FIGURA B. |
Como pode ser visto na Figura A, a principal função de descriptografia tentou chamar um arquivo ".dky" - supostamente contendo a chave RSA privada, e com ele descriptografar todos os arquivos no computador das vítimas.
Na Figura B, podemos ver uma função semelhante, desta vez chamando o arquivo "f.wnry" caiu pelo módulo de criptografia, que contém uma lista dos arquivos de demonstração. A chave RSA privada já está codificada no módulo. Ambas as funções chamam o módulo import_RSA_key (fig. C) - o decryptor principal com o caminho para o arquivo ".dky" como um argumento, e a demo com null em vez disso.
 |
| FIGURA C. |
Levando tudo isso em consideração - a falta de relatórios de alguém que obteve os seus arquivos de volta, o sistema de pagamento e descriptação problemática e a demo falsa da operação de descriptografia, põe em causa a capacidade dos desenvolvedores WannaCry para cumprir suas promessas para descriptografar seus arquivos. [ Fonte: Chek Point ].
