Onderzoekers van het Spaanse telecombedrijf Telefonica hebben aan de hand van een metadata-analyse de laatste uren van de WannaCry-ransomware geprobeerd te reconstrueren. Telefonica was één van de bedrijven die op 12 mei door de ransomware werd getroffen.
Op besmette systemen laat WannaCry een melding zien dat bestanden zijn versleuteld en er losgeld moet worden betaald voor het ontsleutelen. De ransomware ondersteunt in totaal 27 verschillende talen. Afhankelijk van de taalinstelling van de computer wordt er een lokale versie van de melding getoond. Onderzoekers van beveiligingsbedrijf Flashpoint keken eerder al naar de gebruikte taal, wat voor kritiek van Chinese experts zorgde.
Onderzoekers van de cybersecurity-afdeling van Telefonica besloten naar de metadata van de rtf- en andere bestanden te kijken die WannaCry gebruikt. Voor elke vertaling beschikt de ransomware over een apart rf-bestand. Aan de hand daarvan stellen de onderzoekers dat de aanvaller 11 minuten aan de vereenvoudigde Chinese versie besteedde, terwijl hij vier minuten met het Engelse bestand bezig was. Sommige taalbestanden worden helemaal niet door de aanvaller bekeken.
Verder zijn de rtf-bestanden gemaakt door een auteur met de naam "Messi" en is Koreaans als standaard taal binnen Office ingesteld. Aan de hand van de timestamps van de bestanden stellen de onderzoekers dat de aanvaller op 27 april de achtergrond voor de losgeldmelding maakte. Op 9, 10 en 11 mei volgen de laatste voorbereidingen voor de aanval, die op 12 mei wordt uitgevoerd. Het blijft echter onduidelijk in welke tijdszone de aanvaller zich bevindt. Volgens de onderzoekers is het dan ook lastig om de aanval aan een land of persoon toe te kennen.
Deze posting is gelocked. Reageren is niet meer mogelijk.