Libero
SICUREZZA INFORMATICA

WannaCry, arrivano i tool per avere indietro i file

Due esperti in sicurezza informatica hanno sviluppato dei software che in parte permettono agli utenti decriptare le macchine colpite dal ransomware

WannaCry, arrivano i tool per avere indietro i file Fonte foto: Shutterstock

È una vera corsa contro il tempo. Esperti di sicurezza informatica di tutto il mondo sono al lavoro per cercare di trovare gli autori di WannaCry, l’infezione partita lo scorso 12 maggio e diffusasi a macchia d’olio in più di 150 Paesi, e per trovare anche un modo per decriptare i computer colpiti.

Dopo WannaSmile, un programma che disabilita il Server Message Block – un protocollo usato da Windows per comunicare con stampanti e per la condivisione di file tra computer – e impedisce al ransomware di diffondersi sui dispositivi, arrivano altri software. Il primo è stato realizzato da Telefónica, la principale compagnia di telecomunicazioni spagnola, che ha diffuso un tool per recuperare i dati criptati dal ransomware. Si tratta di uno script PowerShell che aiuta a rintracciare i file temporanei con estensione WNCRYPT. Il programma funziona solo se WannaCry non ha completamente criptato l’hard disk della macchina infettata.

WannaKey

Un altro tool in grado di restituire alle vittime i file criptati dal terribile virus del riscatto è Wannakey, un programma sviluppato da Adrien Guinet, un esperto in cybersecurity. Il ricercatore, però, avvisa che il software da lui messo a punto funziona solo sui computer che girano con Windows XP. Wannakey consente di sbloccare i dati individuando le chiavi di decriptazione nascoste all’interno del ransomware. Secondo Adrien Guinet, quando il virus colpisce una macchina genera dei codici per cifrare gli hard disk, i quali si basano su dei numeri primi. Se il malware non cancella questi numeri dalla memoria del pc colpito, recuperandoli è possibile decriptare i file. Il programma ha però dei limiti: ha successo solo se il computer che ha subito l’attacco non è stato riavviato.

Intanto, Microsoft ha rilasciato una patch di aggiornamento, la MS17-010, che impedisce al ransomware di sfruttare le vulnerabilità di Windows e di diffondersi ulteriormente.