Beveiligingsonderzoeker: ‘Data versleutelt met WannaCry weer te ontsleutelen’

NSA hack

De ransomware WannaCry kwam afgelopen vrijdag op en heeft sindsdien ruim 200.000 bedrijven in 150 landen geïnfecteerd. Probleem met deze ransomware is dat als het geïnstalleerd is, je niet meer bij je bestanden kunt. Tenminste, in de meeste gevallen niet. Beveiligingsonderzoeker Adrien Guinet zegt namelijk een manier te hebben gevonden om bestanden op Windows XP weer te ontsleutelen, schrijft Mashable.

Guinet zegt op een geïnfecteerde pc met Windows XP delen van de geheime sleutel die nodig is om de bestanden te ver- en ontsleutelen te hebben gevonden. Die sleutel bestaat onder meer uit priemgetallen, die na installatie weer van de PC verwijderd moeten worden. Maar volgens de onderzoeker gebeurt dit niet altijd en blijven de priemgetallen soms achter. Daarmee kan hij de gehele sleutel ontcijferen en de bestanden weer ontsleutelen.

Hij schreef hier een stuk software voor genaamd WannaKey, dat hij op GitHub plaatste. WannaKey is echter niet altijd te gebruiken. Zo mag een geïnfecteerde computer niet opnieuw opgestart zijn nadat de malware geïnstalleerd werd. Bovendien heb je flink wat geluk nodig om de software te laten werken: het is niet gezegd dat de priemgetallen altijd achterblijven op het systeem.

Windows 7

Een ander probleem is dat WannaCry juist vrij weinig is voorgekomen op Windows XP. En WannaKey is alleen nog op dat systeem uitgeprobeerd. Het is dus niet zeker dat het ook bij andere versies van Windows werkt.

Volgens onderzoekers van MWR en Kyptos is een pc met Windows XP niet in staat om de malware zelf te verspreiden, meldt Reuters. De computer crasht voor de ransomware zich kan vermenigvuldigen en op andere systemen kan installeren. Het is echter wel mogelijk om WannaCry op Windows XP te installeren, dus er zijn zeker wel slachtoffers waar WannaKey een uitkomst voor kan zijn. Maar Windows XP speelt een veel kleinere rol bij de wereldwijde aanval dan in eerste instantie gedacht werd.

Het overgrote deel van de computers die werden getroffen door WannaCry (67 procent) draaiden op Windows 7 en hadden de laatste beveiligingsupdates niet geïnstalleerd. Windows 10, de nieuwste versie van het besturingssysteem van Microsoft, is goed voor 15 procent van de slachtoffers.

Update

Het is opvallend dat zoveel computers de updates duidelijk nog niet geïnstalleerd hebben. De ransomware maakt namelijk gebruik van een kwetsbaarheid die de NSA ontdekte en in april werd uitgelekt door hackersgroep Shadow Brokers. Maar Microsoft bracht op 14 maart al een beveiligingsupdate uit die het lek dichtte. Genoeg tijd dus om de kwetsbaarheid te verwijderen.

“Sommige organisaties zijn niet op de hoogte van de gevaren van niet updaten, sommige willen niet het gevaar lopen om belangrijke processen te onderbreken en soms hebben ze te weinig mensen”, zegt Ziv Mador, vice-president van security research bij SpiderLabds Trustwave. “Er zijn genoeg redenen waarom mensen wachten met het updaten en geen daarvan zijn goed.” Hij stelt dan ook dat systemen waar de update wel geïnstalleerd geen slachtoffer werden van de aanval.

En ook in de toekomst kan het niet installeren van de update voor problemen zorgen, menen beveiligingsexperts. WannaCry kan namelijk verbeterd worden, waardoor de gevolgen groter kunnen zijn. Zo zou er geen kill-switch meer in zitten, wat nu nog wel het geval was.