Een beveiligingsonderzoeker heeft een manier gevonden om de coderingssleutels van de WannaCrypt (AKA WannaCry) ransomware op te halen zonder het losgeld van $ 300 te betalen. Dit is groot omdat WannaCry de ingebouwde cryptografische hulpmiddelen van Microsoft gebruikt om te doen wat het moet doen. Hoewel Windows XP niet erg werd getroffen door de cyberaanval, kan de volgende techniek worden toegepast in het geval van andere ransomware-infecties.

Wcry, nu beschikbaar op Windows XP

De tool heet Wcry en haalt de sleutel rechtstreeks uit het geheugen van het getroffen systeem. Deze oplossing is momenteel beschikbaar voor Windows XP en alleen wanneer de betreffende pc niet opnieuw is opgestart of het geheugen is overschreven.

Wcry is ontwikkeld door Adrien Guinet, een Franse onderzoeker, die de oplossing gratis op GitHub heeft gepost.

Hoe het werkt

Volgens Guinet is de software alleen getest onder Windows XP en werkt deze perfect. In de notitie naast de app staat ook dat “ uw computer niet opnieuw hoeft te zijn opgestart nadat deze is geïnfecteerd. Houd er ook rekening mee dat je geluk nodig hebt om dit te laten werken (zie hieronder), en daarom werkt het mogelijk niet in alle gevallen! ”

In Windows XP is er een fout die voorkomt dat de sleutels uit het geheugen worden gewist en deze fout ontbreekt bij nieuwere besturingssystemen. Het is belangrijk dat de priemgetallen zich nog in het geheugen bevinden.

Guinet zegt dat:

Met deze software kunnen de priemgetallen van de RSA-privésleutel worden hersteld die door Wanacry worden gebruikt. Dit gebeurt door ernaar te zoeken in het wcry.exe-proces. Dit is het proces dat de private RSA-sleutel genereert. Het belangrijkste probleem is dat de CryptDestroyKey en CryptReleaseContext de priemgetallen niet uit het geheugen wissen voordat het bijbehorende geheugen wordt vrijgemaakt.

Omdat je de tool kunt gebruiken voor meer ransomware-infecties, zal het zeer nuttig blijken te zijn voor het bieden van technische ondersteuning.