WannaCry 랜섬웨어의 암호를 해독하는 Wannakey의 소스가 깃허브에 올라왔습니다. 프랑스의 보안 연구가인 Adrien Guinet이 만든 것이라고 하네요.
다만 윈도우 XP여야 하고, 감염 후 PC를 다시 시작하거나 메모리 영역 재배치/삭제가 이루어지지 않아야 한다는 전제 조건이 붙습니다. 물론 이 조건을 다 지켜도 무조건 살린다는 보정이 없습니다.
Wannakey는 WannaCry 프로세스를 판독해 RSA 개인 키를 취득, 암호를 획득하는 구조입니다. wcry.exe가 메모리 스페이스를 확보하기 전에 윈도우 API가 CryptDestroyKey와 CryptReleaseContext의 RSA 암호화 키를 삭제하지 않기에 가능한 것이라고.
다만 이건 WannaCry 제작자의 실수는 아닙니다. 윈도우 10에선 CryptReleaseContext의 키가 삭제되거든요. 어찌보면 XP의 허점을 선의적으로 이용한 사례라고 봐야 하려나.