Un chercheur en sécurité français, Adrien Guinet, travaillant pour la société Quarkslab, a publié un outil baptisé Wannakey capable de déchiffrer les données compromises par le ransomware WannaCry sur les postes de travail Windows XP. Disponible sur Github, ce logiciel tente de trouver la clef de chiffrement utilisé par le malware. Comme l’explique la note publiée sur Github, cet outil « permet de récupérer les nombres premiers de la clef privée RSA utilisée par WannaCry. Il le fait en les recherchant dans le processus wcry.exe. C'est le processus qui génère la clef privée RSA. Le principal problème est que CryptDestroyKey et CryptReleaseContext n'effacent pas les nombres premiers de la mémoire avant de libérer la mémoire associée. » Cette manipulation n’est toutefois pas possible pour Windows 10.
Particulièrement prudent, l’auteur de cet outil indique également : « Pour fonctionner, votre ordinateur ne doit pas être redémarré après avoir été infecté. Notez également que vous avez besoin d'un peu de chance pour que cela fonctionne et cela pourrait ne pas fonctionner dans tous les cas ! ». D’autres outils sont également disponibles comme WannaKiwi (également disponible sur Github) qui semble déchiffrer les fichiers compromis par Wanncry sur les postes Windows 7 comme l’indique sur son fil Twitter, Matthieu Suiche le cofondateur de la start-up CloudVolumes. Là aussi, il ne faut pas le PC ait été redémarré pour ne pas perdre la clef dissimulée dans la mémoire vive.
Ne payer surtout pas de rançon
Le logiciel n’a pas encore été testé à une grande échelle, nous attendons donc les retours des utilisateurs impactés par WannaCry. Rappelons que les pirates derrières ce malware demandent une rançon de 300 dollars en bitcoins pour déchiffrer les données de leurs victimes et, ce, sans aucune garantie. Tous les experts en cybersécurité - l’Anssi comme les cybergendarmes de Cergy-Pontoise - recommandent de ne surtout pas payer de rançon pour éviter de financer à perte d’autres activités criminelles.