Een beveiligingsonderzoeker vond een manier om de coderingssleutels die worden gebruikt door de WannaCrypt (AKA WannaCry) ransomware op te halen zonder het losgeld van $ 300 te betalen. Dit is groot omdat WannaCry de ingebouwde cryptografische tools van Microsoft gebruikt om te doen wat het moet doen. Hoewel Windows XP niet veel werd getroffen door de cyberaanval, kan de volgende techniek worden toegepast in het geval van andere ransomware-infecties.
Wcry, nu beschikbaar op Windows XP
De tool heet Wcry en het plukt de sleutel rechtstreeks uit het geheugen van het getroffen systeem. Deze oplossing is momenteel beschikbaar voor Windows XP en alleen als de pc in kwestie niet opnieuw is opgestart of het geheugen is overschreven.
Wcry is ontwikkeld door Adrien Guinet, een Franse onderzoeker, die de oplossing gratis op GitHub plaatste.
Hoe het werkt
Volgens Guinet is de software alleen getest onder Windows XP en werkt hij perfect. De notitie naast de app luidt ook: "om te kunnen werken, mag uw computer niet opnieuw zijn opgestart nadat deze is geïnfecteerd. Houd er ook rekening mee dat je wat geluk nodig hebt om dit te laten werken (zie hieronder), en daarom werkt het misschien niet in alle gevallen!"
In Windows XP is er een fout die het wissen van de sleutels uit het geheugen verhindert en deze fout ontbreekt in nieuwere besturingssystemen. Het is belangrijk dat de priemgetallen nog in het geheugen staan.
Guinet zegt dat:
Met deze software kunnen de priemgetallen van de RSA-privésleutel worden hersteld die door Wanacry worden gebruikt. Het doet dit door ernaar te zoeken in het proces wcry.exe. Dit is het proces dat de persoonlijke RSA-sleutel genereert. Het belangrijkste probleem is dat de CryptDestroyKey en CryptReleaseContext de priemgetallen niet uit het geheugen wissen voordat het bijbehorende geheugen wordt vrijgemaakt.
Aangezien u de tool voor meer ransomware-infecties kunt gebruiken, zal het erg handig blijken te zijn voor het bieden van technische ondersteuning.
GERELATEERDE VERHALEN OM UIT TE CONTROLEREN:
- De makers van WannaCry dreigen meer malware uit te brengen op Windows 10
- Adylkuzz, een andere grootschalige Windows-cyberaanval, is naar verluidt onderweg
- Hoe u online veilig kunt blijven na de WannaCrypt-aanvallen
- Cybersecurity
- Ransomware