Een Franse beveiligingsonderzoeker heeft software ontwikkeld waarmee gebruikers van Windows XP de encryptie van de WannaCry-ransomware ongedaan kunnen maken. Er zijn wel een aantal beperkingen wat betreft de bruikbaarheid.

Beveiligingsonderzoeker Adrien Guinet van

ontdekte dat de priemgetallen die WannaCry gebruikt om de rsa-sleutel te genereren, te achterhalen zijn in het geheugen. WannaCry gebruikt deze sleutel om bestanden te versleutelen. Guinet ontwikkelde de tool WannaKey om de priemgetallen aan het geheugen te onttrekken zodat gebruikers de versleuteling ongedaan kunnen maken zonder te betalen.

 

 

 

De werking is wel gelimiteerd. Zo functioneert WannaKey alleen bij Windows XP. Bij de overige kwetsbare Windows-versies ruimt WannaCry de priemgetallen uit het geheugen netjes op. Niet in alle omstandigheden lijkt de tool te werken. Zo kreeg Matt Suiche, beveiligingsonderzoeker van Comae Technologies, de tool niet werkend.

Verder benadrukt Guinet zelf dat systemen geen reboot gehad mogen hebben en dat gebruikers geluk moeten hebben dat het geheugen niet opnieuw gealloceerd of om andere redenen gewist is. Grootste obstakel voor daadwerkelijke inzet op dit moment is dat de WannaCry-aanval tot nu toe geen Windows XP-systemen trof. De ransomware werkt wel op XP, maar de worm richtte zich niet op het OS. Bij mogelijke aanvallen in de toekomst zou WannaKey wel van dienst kunnen zijn.

 

 

 

Reacties mogelijk gemaakt door CComment