Beveiligingsonderzoeker Adrien Guinet heeft een decryptietool voor de WannaCry-ransomware op Windows XP-systemen ontwikkeld genaamd WannaKey. De ransomware verspreidde zich sinds vorige week vrijdag via een SMB-lek in Windows, dat op 14 maart door Microsoft was gepatcht.
Eenmaal actief op een systeem versleutelt WannaCry allerlei bestanden voor losgeld en zoekt naar andere kwetsbare computers op het netwerk. Om de bestanden te versleutelen genereert WannaCry een RSA private key. Guinet ontdekte dat de priemgetallen die voor het genereren van deze sleutel zijn aangemaakt in het geheugen van XP-machines kunnen achterblijven. Hoewel Windows 10 niet kwetsbaar is voor WannaCry zou de gebruikte encryptieprogrammeerinterface op dit platform de priemgetallen wel uit het geheugen wissen.
De onderzoeker ontwikkelde een tool waarmee de gebruikte priemgetallen op Windows XP-systemen uit het geheugen kunnen worden uitgelezen en vervolgens zijn te gebruiken om de decryptiesleutel te maken. Om de methode te laten werken mag de computer sinds de infectie niet zijn herstart, aangezien de priemgetallen dan uit het geheugen verdwijnen. De onderzoeker werkt nu nog aan een manier om de tool gebruiksvriendelijk te maken. Op GitHub is de software te downloaden.
Deze posting is gelocked. Reageren is niet meer mogelijk.