Một nhà nghiên cứu người Pháp đến từ conng ty Quarkslab đã tìm ra cách lấy được khóa giải mã mã độc WannaCry hoàn toàn miễn phí. Windows XP, Windows 7, Windows Vista, Windows Server 2003 và 2008.
Cế chế mã hóa của WannaCry hoạt động bằng cách tạo ra một cặp khóa trên mát tnnủ của nạn nhân dựa trÃnn số nguyên tố, một khóa “conng khai” và một khóa “bí mật” lần lượt dÃnnh cho việc mà hÃa và giải mà Tệp tin hố thống.
Để ngăn nạn nhân có thể lấy được khóa bí mật và giải mã các tệp tin bị khóa, WannaCry đã xóa khóa này ra khỏi hệ thống, buộc nạn nhân phải trả tiền chuộc cho tin tặc nếu muốn lấy lại dữ liệu. Nhưng WannaCry đã không “xóa các số nguyên tố ra khỏi bộ nhớ”, chính điều này đã giúp nhà nghiên cứu Guinet có thể tạo ra khóa bí mật từ bộ nhớ.
Trong quá trình điều tra tiến trình wcry.exe dùng để tạo ra khóa mã hóa RSA, Guinet đã phát hiện ra các số nguyên tố trong bộ nhớ trước khi bộ nhớ bị giải phóng. Do đó, phương pháp này chỉ hoạt động nếu:
  •  Máy tính bị nhiễm mã độc chưa khởi động lại sau khi bị lây nhiễm.
  • Phần bộ nhớ được cấp cho số nguyên tố chưa bị xóa hoặc cấp cho các tiến trình khác.
Tin tốt là một nhà nghiên cứu khác đã phát triển một công cụ có tên “WanaKiwi” giúp đơn giản hóa quá trình giải mã tên tin bị WannaCry mã hóa. Những gì người dùng cần làm là tải công cụ WannaKiwi từ GitHub và chạy trên máy tính Windows thông qua giao diện dòng lệnh (CMD).
WannaKiwi được xác nhận bởi công ty bảo mật Comae Technologie rằng hoạt động tốt trên Windows XP, Windows 7,, Windows Server 2003 và 2008. Dù công cụ này hoạt động phụ thuộc vào điều kiện cụ thể nhưng vẫn mở ra cơ hội cho người dùng bị lây nhiễm mã độc lấy lại được dữ liệu hoàn toàn miễn phí.