WannaKey of WanaKiwi de redding voor WannaCry infecties?


Steeds meer wordt bekend over de WannaCry aanval van ongeveer een week geleden, 13 mei 2017. Steeds meer techneuten hebben zich met deze aanval bezig gehouden en een manier gevonden om mogelijk bestanden terug te halen die door de WannaCry ransomware versleuteld zijn.

Er is software ontwikkeld genaamd “WannaKey” en “WanaWiki” die het onder sommige omstandigheden mogelijk maakt om bestanden terug te halen die door WannaCry zijn versleuteld. Hiermee zou het mogelijk zijn om de sleutels “de key” die u nodig heeft om te decrypten via het geheugen terug te halen.

Hiervoor gelden echter wel een tweetal beperkingen, deze leest u in de onderstaanden instructie. Beide programma’s WannaKey en WanaWiki werken op Windows XP, Windows 2003, Windows 2008 en Windows 7 (x86), of (x64) werkt is nog de vraag.

WannaKey of WanaKiwi de redding voor versleutelde WannaCry bestanden?

WannaKey maakt het mogelijk om de primaire getallen van de RSA private sleutel te herstellen die door WannaCry worden gebruikt.

Het doet dat door te zoeken naar de sleutels in het wcry.exe proces. Dit is het proces dat de RSA private sleutel genereert. Het belangrijkste probleem is dat de CryptDestroyKey en CryptReleaseContext de priemgetallen niet uit het geheugen verwijdert alvorens het bijbehorende geheugen vrij te maken.

Dit is niet echt een fout van de ransomware auteurs, omdat ze de Windows Crypto API goed gebruiken. Inderdaad, voor wat er onder Windows 10 is getest, maakt CryptReleaseContext het geheugen schoon (en dus zal deze herstel techniek niet werken). Het kan werken onder Windows XP, omdat CryptReleaseContext in deze versie de opruiming niet doet. Bovendien staat MSDN voor deze functie: “Nadat deze functie is gebeld, is het vrijgegeven CSP handvat niet meer geldig. Deze functie vernietigt geen sleutelcontainers of sleutelparen. Zo lijkt het erop dat er geen schone en cross-platform manieren onder Windows zijn om dit geheugen te reinigen.

Als u geluk hebt (dat is het geassocieerde geheugen niet opnieuw toegewezen en gewist), kunnen deze priemgetallen nog steeds in het geheugen zijn.

Dat is wat deze software probeert te bereiken.

WannaKey beperkingen

Er zijn dus een aantal beperkingen aan deze WannaKey tool (en ook voor het onderstaande WanaKiwi), het werkt niet als:

  1. De computer na infectie opnieuw is opgestart.
  2. Het geheugen door een ander proces is overschreven.
  3. De computer die is geinfecteerd Windows 8 of Windows 10 heeft geinstalleerd.

Bron: https://github.com/aguinet/wannakey

Download WannaKey

  • Download WannaKey op een USB drive, en plaats het daarmee op de geïnfecteerde computer als deze niet is verbonden met het internet.
  • Open een CMD venster (Start > Uitvoeren > cmd.exe)
  • Ga naar de locatie van het wannakey.exe bestand.
  • Type: wannakey.exe
  • Als het goed is vind de wannakey executable het wcry.exe proces en bijbehoren registry sleutels.
  • Als het mogelijk is om bestanden te halen verschijnt er een key die u via de Decrypt knop in WannaCry kunt ingeven.

WanaKiwi: WannaCry Ransomware Decryption Tool

Goed nieuws is dat een andere beveiligingsonderzoeker, Benjamin Delpy, een eenvoudig te gebruiken tool heeft ontwikkeld genaamd “WanaKiwi”. Deze tool is gebaseerd op de bevinding van Guinet, waardoor het hele proces van de WannaCry geïnfecteerde bestands decryptie wordt vereenvoudigd.

Het enige wat je dient te doen is WanaKiwi te downloaden en uit te voeren via de opdrachtprompt (cmd.exe).

Download WanaKiwi

WanaKiwi werkt op Windows XP, Windows 7, Windows Vista, Windows Server 2003 en 2008, bevestigde Matt Suiche van beveiligingsbedrijf Comae Technologies, die ook demonstraties heeft gegeven waarin wordt aangegeven hoe u WanaKiwi kunt gebruiken om uw bestanden te decoderen.

Hoewel WanaKiwi niet voor elke gebruiker werkt vanwege de afhankelijkheden, geeft het nog steeds hoop aan de slachtoffers van WannaCry om hun versleutelde bestanden terug te krijgen, zelfs vanaf Windows XP, de verouderende, grotendeels niet ondersteunde versie van het besturingssysteem van Microsoft.

Zie de video hoe WanaKiwi werkt, en lees hier meer informatie over het gebruik van WanaWiki.

WannaCry infecties zijn te voorkomen, lees hier meer.




Laat een bericht achter, we horen graag van u.