Kostenloses, aber eingeschränktes Ransomware-Entschlüsselungstool für Windows XP entwickelt

Ein Sicherheitsforscher hat einen Weg gefunden, die von der Wannacrypt-Ransomware verwendeten Verschlüsselungsschlüssel abzurufen, ohne das Lösegeld von 300 US-Dollar zahlen zu müssen.

Seine Anwendung WCry holt den Schlüssel direkt aus dem Speicher eines betroffenen Systems, aber die Lösung ist nur unter Windows XP verfügbar, und wenn der PC noch nicht neu gestartet oder der Speicher nicht überschrieben wurde, dh. unter sehr spezifischen und etwas unwahrscheinlichen Umständen.

WCry wurde von Adrien Guinet, einem Forscher des in Frankreich ansässigen Quarkslab, entwickelt und kostenlos auf GitHub veröffentlicht.

„Diese Software wurde nur unter Windows XP getestet und funktioniert bekanntermaßen“, schrieb er in einer Readme-Notiz, die seiner App beiliegt, die er Wannakey nennt. „Um zu funktionieren, darf Ihr Computer nach der Infektion nicht neu gestartet worden sein. Bitte beachten Sie auch, dass Sie etwas Glück brauchen, damit dies funktioniert (siehe unten), und es daher möglicherweise nicht in jedem Fall funktioniert!“

WannaCry verwendet Microsofts integrierte kryptografische Tools, um seine Drecksarbeit zu erledigen, und in Windows XP gibt es einen Fehler, der das Löschen der Schlüssel aus dem Speicher verhindert, was in neueren Versionen des Betriebssystems nicht vorhanden ist.

„Wenn Sie Glück haben (das heißt, der zugehörige Speicher wurde nicht neu zugewiesen und gelöscht), sind diese Primzahlen möglicherweise noch im Speicher“, schrieb Guinet.

Glücklicherweise oder unglücklicherweise für die Benutzer war Windows XP tatsächlich nicht stark von WannaCrypt betroffen, da die Malware auf diesem Betriebssystem nicht richtig funktionierte. Die Technik kann jedoch auf andere Ransomware-Infektionen angewendet werden und wäre ein nützliches Werkzeug in der Ausrüstungstasche des geeky Familienmitglieds, das dazu neigt, technischen Support für seinen gesamten Clan bereitzustellen.

Der Code ist zu finden auf Github hier.