Gratis maar beperkte ransomware-decoderingstool voor Windows XP ontwikkeld

Een beveiligingsonderzoeker heeft een manier gevonden om de coderingssleutels die door de Wannacrypt-ransomware worden gebruikt, terug te halen zonder het losgeld van $ 300 te hoeven betalen.

Zijn toepassing, WCry, plukt de sleutel rechtstreeks uit het geheugen van een getroffen systeem, maar de oplossing is alleen beschikbaar op Windows XP, en als de pc nog niet opnieuw is opgestart of het geheugen niet is overschreven, bijv. in zeer specifieke en enigszins onwaarschijnlijke omstandigheden.

WCry is ontwikkeld door Adrien Guinet, een onderzoeker bij Quarkslab in Frankrijk, en gratis gepost op GitHub.

"Deze software is alleen getest en werkt alleen onder Windows XP", schreef hij in een leesmij-notitie bij zijn app, die hij Wannakey noemt. “Om te kunnen werken, mag uw computer niet opnieuw zijn opgestart nadat hij is geïnfecteerd. Houd er ook rekening mee dat je wat geluk nodig hebt om dit te laten werken (zie hieronder), en dus werkt het misschien niet in alle gevallen!”

WannaCry gebruikt de ingebouwde cryptografische tools van Microsoft om zijn vuile werk te doen, en in Windows XP is er een fout die het wissen van de sleutels uit het geheugen verhindert, wat niet aanwezig is in recentere versies van het besturingssysteem.

"Als je geluk hebt (dat wil zeggen dat het bijbehorende geheugen niet opnieuw is toegewezen en gewist), bevinden deze priemgetallen zich misschien nog steeds in het geheugen", schreef Guinet.

Gelukkig of helaas voor gebruikers, werd Windows XP in feite niet op grote schaal getroffen door WannaCrypt, omdat de malware niet goed werkte op dat besturingssysteem. De techniek kan echter van toepassing zijn op andere ransomware-infecties en zou een handig hulpmiddel zijn in de kitbag van het geeky familielid dat de neiging heeft om technische ondersteuning te bieden aan hun hele clan.

De code is te vinden op Github hier.