Toevallige storing
Guinet ontdekte een zwakke plek in WannaCry. De ransoware werkt door twee sleutels te genereren op een geïnfecteerd systeem: een publieke sleutel om bestanden te encrypteren, en een privésleutel die kan gebruikt worden om te decrypteren wanneer de slachtoffers hebben betaald. Die privésleutel zelf is op zich nog eens geëncrypteerd, zodat alleen de cybercriminelen er aan kunnen.Een functie die door Microsoft werd gecreëerd en waar de cybrcriminelen dankbaar gebruik van maken, zorgt ervoor dat de ongeëncrypteerd versie van de privésleutel automatisch wordt verwijderd uit het werkgeheugen van een besmette computer. Alleen werkt die functie niet op elk Windows-systeem: Guinet ontdekte dat dit niet het geval is voor Windows XP. Dankzij die vergissing kan WannaKey de decryptiesleutel uit het geheugen recupereren.
WannaKey werkt echter niet in honderd procent van de gevallen. Het werkgeheugen bewaart informatie maar tijdelijk, waardoor er een reële kans is dat de informatie alweer is overschreven wanneer je de decryptie-tool gebruikt. Heb je je computer na besmetting opnieuw opgestart, dan ben je er al zeker aan voor de moeite. Guinet heeft zijn oplossing gratis beschikbaar gesteld op GitHub.
WannaCry heeft grotendeels Windows 7-computers getroffen, zo laat een voorlopig onderzoek van veiligheidsbedrijf BitSight zien. Zij namen 160.000 getroffen systemen onder de loep, waarvan 67 procent Windows 7 draaide en 15 procent Windows 10. De overige 18 procent betrof Windows 8, 8.1, XP en Vista.
Geen opmerkingen:
Een reactie posten