Ook ontsleutelingsprogramma voor WannaCry op Windows 7 gemaakt

De Franse beveiligingsonderzoeker Benjamin Delpy heeft een manier gevonden om de ransomware WannaCry op Windows 7 te kunnen ontsleutelen.

Delpy kreeg het idee van beveiligingsonderzoeker Adrien Guinet, die donderdag software publiceerde om WannaCry op Windows XP te kunnen ontsleutelen. Dat zegt Delpy op Twitter.

Het zogenaamde wanakiwi van Delpy zoekt net als Guinets WannaKey naar delen van een geheime sleutel die op de computer zijn achtergebleven. WannaCry gijzelt data op computers, waardoor ze niet langer toegankelijk zijn. Pas als er een geldbedrag betaald wordt, belooft de aanvaller de computer te ontsleutelen met een geheime sleutel.

Met die geheime sleutel worden de bestanden ook versleuteld als de malware geïnstalleerd wordt. De sleutel zou na installatie verwijderd moeten worden, maar dat blijkt niet altijd het geval te zijn. Soms blijven er delen achter op de computer. Met die delen is het mogelijk om te ontdekken wat de geheime sleutel is en de bestanden te ontsleutelen.

Om de software te laten werken mogen getroffen gebruikers hun systeem niet herstarten. Daardoor kunnen de delen van de geheime sleutel alsnog uit het systeem verdwijnen. Overigens blijkt dat de delen niet altijd op het systeem achterblijven. De software werkt dus niet altijd.

Windows 7

Wanakiwi werd getest door beveiligingsonderzoeker Matt Suiche. Volgens hem werkt de software op Windows 7, Server 2003, Server 2008 en Windows XP.

Volgens onderzoek van beveiligingsbedrijf BitSight bestond het overgrote deel van de computers die door de ransomware-aanval getroffen werden uit Windows 7. Windows 10, de nieuwste versie van het besturingssysteem, was goed voor 15 procent van de slachtoffers. Er is vooralsnog geen manier gevonden om bestanden op Windows 10 te ontsleutelen.

De aanval met WannaCry begon op vrijdag 12 mei, toen diverse bedrijven in Spanje en ziekenhuizen in Groot-Brittannië het slachtoffer werden. Al snel kwamen er meldingen uit meer landen. Meer dan 200.000 bedrijven in 150 landen werden uiteindelijk geïnfecteerd. In Nederland werden onder meer Q-Park en de klachtenwebsite van het Landelijk Aktie Komitee Scholieren (LAKS) het slachtoffer.

Lees meer over:
Tip de redactie