Gratis men begrænset ransomware-dekrypteringsværktøj til Windows XP udviklet

En sikkerhedsforsker har fundet en måde at hente krypteringsnøglerne brugt af Wannacrypt ransomware uden at skulle betale løsesummen på $300.

Hans applikation, WCry, plukker nøglen lige ud af hukommelsen på et berørt system, men løsningen er kun tilgængelig på Windows XP, og hvis pc'en ikke er genstartet endnu, eller hukommelsen ikke er blevet overskrevet, dvs. under meget specifikke og lidt usandsynlige omstændigheder.

WCry er udviklet af Adrien Guinet, en forsker med Frankrig-baserede Quarkslab, og lagt ud på GitHub gratis.

"Denne software er kun blevet testet og kendt for at fungere under Windows XP," skrev han i en readme-note, der fulgte med hans app, som han kalder Wannakey. “For at fungere, må din computer ikke være blevet genstartet efter at være blevet inficeret. Bemærk også, at du har brug for lidt held, for at dette kan virke (se nedenfor), og derfor virker det måske ikke i alle tilfælde!"

WannaCry bruger Microsofts indbyggede kryptografiske værktøjer til at udføre sit beskidte arbejde, og i Windows XP er der en fejl, som forhindrer sletning af nøglerne fra hukommelsen, som ikke er til stede på nyere versioner af operativsystemet.

"Hvis du er heldig (det vil sige, at den tilknyttede hukommelse ikke er blevet omfordelt og slettet), er disse primtal muligvis stadig i hukommelsen," skrev Guinet.

Heldigvis eller uheldigvis for brugerne var Windows XP faktisk ikke meget påvirket af WannaCrypt, da malwaren ikke fungerede korrekt på det operativsystem. Teknikken kan dog være anvendelig til andre ransomware-infektioner og ville være et nyttigt værktøj i kitbagen til det nørdede familiemedlem, som har en tendens til at yde teknisk support til hele deres klan.

Koden kan findes på Github her.