WannaCry? Had je nou maar XP!

Een Franse IT-beveiliger claimt een methode te hebben gevonden om de WannaCry-ransomware te kraken, meldt Ars Technica. Helaas voor de slachtoffers van deze gijzelsoftware werkt de methode alleen op computers met Windows XP.

Ook lepelt de beveiliger - Adrien Guinet van Quarkslab - wat vereisten op waar de computer aan moet voldoen voordat het werkt. Zo mag de pc niet meer herstart zijn sinds de infectie. Ook zegt hij dat je 'wat geluk' moet hebben bij het uitvoeren van zijn methode, dus het werkt niet in alle gevallen.

Guinet maakt gebruik van het feit dat in XP het geheugen niet zo efficiënt wordt gewist als in latere versies van het besturingssysteem en daardoor eigenlijk onveiliger is. Maar dat komt in dit geval goed van pas.

WannaCry, wat ook wel bekend staat als WCry, zet namelijk een standaardcomponent van Windows in voor het versleutelen van bestanden, namelijk de Microsoft Cryptographic Application Program Interface. Dat onderdeel genereert de private en publieke sleutels die onder normale omstandigheden worden gebruikt om bestanden op de harde schijf te beschermen. Nadat de sleutels zijn gemaakt en gebruikt, worden deze encryptiesleutels gewist uit het geheugen.

Sleutel zit vermoedelijk nog in geheugen

XP doet dat echter niet zo grondig, zodat er grote kans is dat de sleutels nog ergens in het geheugen aanwezig zijn. het wissen bestaat bij XP uit het verwijderen van de verwijzing naar de locatie in het geheugen, maar de code zelf blijft aanwezig tot het moment dat de geheugenpositie wordt overschreven met nieuwe data. Daar zit de portie geluk in die de XP-gebruiker moet hebben.

Guinet maakte een app genaamd WannaKey waarmee die sleutels weer zijn op te vissen uit het geheugen, mits ze daar nog aanwezig zijn.

Kans is gering

Het is de vraag voor hoeveel XP-gebruikers WannaKey als een geschenk uit de hemel komt. Waarschijnlijk niet veel. Het wormgedeelte dat zorgde dat zo veel computers konden worden besmet omdat geen actie nodig was van de gebruiker, werkte namelijk niet op XP-computers. De slachtoffers hebben de malware dus zelf op de pc moeten zetten door het aanklikken van een link of bijlage.