Test

Dit is een popup

Update: Decryptie-tool WannaCry beschikbaar voor bijna alle Windows-versies

Een veiligheidsonderzoeker heeft een oplossing uitgewerkt die een WannaCry-infectie kan neutraliseren, maar enkel op Windows XP. Update: Een nieuwe tool werkt nu ook op andere Windows-versies.

Slachtoffers van WannaCry hebben de mogelijkheid om hun bestanden terug te halen zonder te betalen, al zijn er wel enkele caveats aan de oplossing verbonden. De Franse beveiligingsonderzoeker Adrien Guinet ontwikkelde ‘WannaKey’, een decryptie-tool voor de ransomware specifiek voor Windows XP.

Toevallige storing

Guinet ontdekte een zwakke plek in WannaCry. De ransoware werkt door twee sleutels te genereren op een geïnfecteerd systeem: een publieke sleutel om bestanden te encrypteren, en een privésleutel die kan gebruikt worden om te decrypteren wanneer de slachtoffers hebben betaald. Die privésleutel zelf is op zich nog eens geëncrypteerd, zodat alleen de cybercriminelen er aan kunnen.

Een functie die door Microsoft werd gecreëerd en waar de cybrcriminelen dankbaar gebruik van maken, zorgt ervoor dat de ongeëncrypteerd versie van de privésleutel automatisch wordt verwijderd uit het werkgeheugen van een besmette computer. Alleen werkt die functie niet op elk Windows-systeem: Guinet ontdekte dat dit niet het geval is voor Windows XP. Dankzij die vergissing kan WannaKey de decryptiesleutel uit het geheugen recupereren.

WannaKey werkt echter niet in honderd procent van de gevallen. Het werkgeheugen bewaart informatie maar tijdelijk, waardoor er een reële kans is dat de informatie alweer is overschreven wanneer je de decryptie-tool gebruikt. Heb je je computer na besmetting opnieuw opgestart, dan ben je er al zeker aan voor de moeite. Guinet heeft zijn oplossing gratis beschikbaar gesteld op GitHub.

WannaCry heeft grotendeels Windows 7-computers getroffen, zo laat een voorlopig onderzoek van veiligheidsbedrijf BitSight zien. Zij namen 160.000 getroffen systemen onder de loep, waarvan 67 procent Windows 7 draaide en 15 procent Windows 10. De overige 18 procent betrof Windows 8, 8.1, XP en Vista.

Update: De nieuwe WanaKiwi-tool ontsleutelt ook bestanden voor Windows Vista en Windows 7. De tool maakt gebruik van een gelijkaardige methode als WannaKey, al is er een belangrijk verschil. WannaKiwi gaat opzoek naar priemgetallen in het werkgeheugen en reconstrueert daarmee de sleutel, terwijl WanaKey de sleutel zelf zoekt. De tool werkt in principe op alle Windowsversies vanaf Windows XP tot en met Windows 7. Enige voorwaarde: je mag je computer niet heropstarten na de infectie. Zodra het werkgeheugen gewist is, verdwijnt de kans om je bestanden te recupereren.

Slachtoffers van WannaCry hebben de mogelijkheid om hun bestanden terug te halen zonder te betalen, al zijn er wel enkele caveats aan de oplossing verbonden. De Franse beveiligingsonderzoeker Adrien Guinet ontwikkelde ‘WannaKey’, een decryptie-tool voor de ransomware specifiek voor Windows XP.

Toevallige storing

Guinet ontdekte een zwakke plek in WannaCry. De ransoware werkt door twee sleutels te genereren op een geïnfecteerd systeem: een publieke sleutel om bestanden te encrypteren, en een privésleutel die kan gebruikt worden om te decrypteren wanneer de slachtoffers hebben betaald. Die privésleutel zelf is op zich nog eens geëncrypteerd, zodat alleen de cybercriminelen er aan kunnen.

Een functie die door Microsoft werd gecreëerd en waar de cybrcriminelen dankbaar gebruik van maken, zorgt ervoor dat de ongeëncrypteerd versie van de privésleutel automatisch wordt verwijderd uit het werkgeheugen van een besmette computer. Alleen werkt die functie niet op elk Windows-systeem: Guinet ontdekte dat dit niet het geval is voor Windows XP. Dankzij die vergissing kan WannaKey de decryptiesleutel uit het geheugen recupereren.

WannaKey werkt echter niet in honderd procent van de gevallen. Het werkgeheugen bewaart informatie maar tijdelijk, waardoor er een reële kans is dat de informatie alweer is overschreven wanneer je de decryptie-tool gebruikt. Heb je je computer na besmetting opnieuw opgestart, dan ben je er al zeker aan voor de moeite. Guinet heeft zijn oplossing gratis beschikbaar gesteld op GitHub.

WannaCry heeft grotendeels Windows 7-computers getroffen, zo laat een voorlopig onderzoek van veiligheidsbedrijf BitSight zien. Zij namen 160.000 getroffen systemen onder de loep, waarvan 67 procent Windows 7 draaide en 15 procent Windows 10. De overige 18 procent betrof Windows 8, 8.1, XP en Vista.

Update: De nieuwe WanaKiwi-tool ontsleutelt ook bestanden voor Windows Vista en Windows 7. De tool maakt gebruik van een gelijkaardige methode als WannaKey, al is er een belangrijk verschil. WannaKiwi gaat opzoek naar priemgetallen in het werkgeheugen en reconstrueert daarmee de sleutel, terwijl WanaKey de sleutel zelf zoekt. De tool werkt in principe op alle Windowsversies vanaf Windows XP tot en met Windows 7. Enige voorwaarde: je mag je computer niet heropstarten na de infectie. Zodra het werkgeheugen gewist is, verdwijnt de kans om je bestanden te recupereren.

BeveiligingtipwannacryWindowswindows xp

Gerelateerde artikelen

Volg ons

ICT Jaarboek 2021-2022 – TechPulse Business

ICT Jaarboek 2021-2022 – TechPulse Business

Bestel nu!