Aggiornamenti recenti Agosto 22nd, 2025 2:30 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Prompt injection nelle immagini: l’image scaling trasforma un JPEG in un esfiltratore
- Static Tundra sfrutta una vecchia vulnerabilità Cisco per spionaggio
- Lenovo, il chatbot AI “Lena” era troppo loquace
- PyPI blocca i “domain resurrection”: disattivate 1.800 email
- CERT-AGID 9 – 14 agosto: gli alberghi italiani ancora sotto attacco
WannaCry: Windows 7 il più colpito, ma i file si possono recuperare
I ricercatori hanno messo a punto due strumenti che riescono a violare la chiave crittografica. Ma perché funzionino il PC non deve essere stato riavviato.
Buone notizie per chi è rimasto vittima del ransomware Wannacry. In alcun casi, infatti, è possibile recuperare i file “presi in ostaggio” dal malware senza che sia necessario pagare il riscatto chiesto dai pirati informatici. Teniamo presente, però, che per portare a termine il “salvataggio” serve una buona dose di fortuna.
L’operazione di recupero è possibile grazie a due strumenti scaricabili gratuitamente da Internet e sviluppati da ricercatori che si sono immediatamente dati da fare per aggirare il sistema crittografico del ransomware.
Il primo è Wannakey ed è scaricabile a questo indirizzo di GitHub. Il secondo si chiama Wanawiki e può essere scaricato dal sito dedicato che contiene anche tutte le istruzioni per utilizzare il software.
I due strumenti di recupero, in realtà, sono disponibili da qualche giorno ma in un primo momento si pensava che funzionassero soltanto con Windows XP. Una limitazione che aveva frenato l’entusiasmo degli stessi sviluppatori, visto che i computer con Windows XP colpiti dal ransomware sono una percentuale minima delle vittime complessive, mentre il 97% è rappresentato da Windows 7.
In seguito, però, gli stessi ricercatori hanno verificato che la tecnica funziona anche sui computer su cui gira Windows 7.
L’iniziale incertezza riguardo l’efficacia di Wannakey e Wanawiki è dovuta al metodo che i due tool usano per tentare il recupero dei file. La decodifica, infatti, è possibile solo a determinate condizioni e non c’è mai la certezza che la procedura vada a buon fine.
I due strumenti utilizzano tecniche lievemente diverse, ma puntano entrambi allo stesso obiettivo: recuperare una porzione della chiave crittografica usata per codificare i file e ricostruirla in modo da poter decrittare i dati.
Stando a quanto riportato dall’autore di Wannakey, la “finestra” che permette il recupero è provocata dal fatto che i componenti CryptDestroyKey e CryptReleaseContext non cancellerebbero i numeri primi dalla memoria prima di renderla accessibile.
Come spiega il programmatore, non si tratta di un errore dell’autore del malware, ma di una caratteristica delle Windows Crypt API, il cui risultato però sarebbe che nella memoria rimarrebbe una traccia della chiave usata per crittografare i file.
E proprio qui, però, sta anche il limite dei due strumenti: per il recupero è necessario che i software rintraccino le informazioni all’interno del processo wcry.exe, ma questo è possibile solo se il computer non è stato riavviato e la porzione di memoria che contiene le informazioni non è stata sovrascritta.
Insomma: le probabilità di recuperare i file non sono molte, ma per le vittime di WannaCry è comunque una speranza a cui ci si può aggrappare.
Condividi l'articolo
Water Torture: Server DNS nel mirino dei pirati informatici
Netgear raccoglie i dati sull’utilizzo dei suoi router
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi... -
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,... -
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Prompt injection nelle immagini: l’image scaling... Un’immagine apparentemente innocua, inviata a un... -
Static Tundra sfrutta una vecchia vulnerabilità Cisco per... Un gruppo di cyber spionaggio legato ai servizi segreti... -
Lenovo, il chatbot AI “Lena” era troppo loquace Il chatbot di assistenza clienti di Lenovo, chiamato Lena,... -
PyPI blocca i “domain resurrection”: disattivate 1.800... Il team di sicurezza della Python Software Foundation,... -
CERT-AGID 9 – 14 agosto: gli alberghi italiani ancora... Nel corso di questa settimana il CERT-AGID ha rilevato
Ransomware: la serie
No posts found.