Fenster

Wcry ist ein kostenloses Ransomware-Entschlüsselungstool für Windows XP

Wcry ist ein kostenloses Ransomware-Entschlüsselungstool für Windows XP

Ein Sicherheitsforscher hat einen Weg gefunden, die von der Ransomware WannaCrypt (AKA WannaCry) verwendeten Verschlüsselungsschlüssel abzurufen, ohne das Lösegeld von 300 US-Dollar zu zahlen. Dies ist wichtig, da WannaCry die integrierten kryptografischen Tools von Microsoft verwendet, um das zu tun, was erforderlich ist. Während Windows XP von dem Cyber-Angriff nicht stark betroffen war, kann die folgende Technik bei anderen Ransomware-Infektionen angewendet werden.

Wcry, jetzt unter Windows XP verfügbar

Das Tool wird aufgerufen Wcry und es zieht den Schlüssel direkt aus dem Speicher des betroffenen Systems. Diese Lösung ist derzeit für Windows XP verfügbar und nur, wenn der betreffende PC nicht neu gestartet oder sein Speicher überschrieben wurde.

Wcry wurde von Adrien Guinet, einem französischen Forscher, entwickelt, der die Lösung kostenlos auf GitHub veröffentlichte.

Wie es funktioniert

Laut Guinet wurde die Software nur unter Windows XP getestet und läuft einwandfrei. Der Hinweis neben der App lautet außerdem: „Um zu funktionieren, darf Ihr Computer nach einer Infektion nicht neu gestartet worden sein. Bitte beachten Sie auch, dass Sie etwas Glück brauchen, damit dies funktioniert (siehe unten), sodass es möglicherweise nicht in jedem Fall funktioniert!

In Windows XP gibt es einen Fehler, der das Löschen der Schlüssel aus dem Speicher verhindert, und dieser Fehler fehlt bei neueren Betriebssystemen. Es ist wichtig, dass sich die Primzahlen noch im Speicher befinden.

Guinet sagt das:

Mit dieser Software können die von Wanacry verwendeten Primzahlen des privaten RSA-Schlüssels wiederhergestellt werden. Dazu suchen Sie im Prozess wcry.exe nach ihnen. Dies ist der Prozess, der den privaten RSA-Schlüssel generiert. Das Hauptproblem besteht darin, dass CryptDestroyKey und CryptReleaseContext die Primzahlen nicht aus dem Speicher löschen, bevor der zugehörige Speicher freigegeben wird.

Da Sie das Tool für weitere Ransomware-Infektionen verwenden können, wird es sich als sehr nützlich für die Bereitstellung von technischem Support erweisen.

Verwandte Geschichten zum Auschecken:

Fenster Der eingeschränkte regelmäßige Scan von Windows Defender wird nicht deaktiviert
Der eingeschränkte regelmäßige Scan von Windows Defender wird nicht deaktiviert
In Windows 10 wird Windows Defender automatisch deaktiviert, sobald ein Antivirenprogramm eines Drittanbieters installiert ist. Dank einer neuen Windo...
Fenster So automatisieren Sie Aufgaben in Windows 10
So automatisieren Sie Aufgaben in Windows 10
Es gibt wahrscheinlich eine App oder eine Website, die Sie jeden Tag auf Ihrem Computer verwenden / besuchen. Wenn Sie bereits eine solche Routine ent...
Fenster So blockieren Sie UWP-Apps in Windows 10
So blockieren Sie UWP-Apps in Windows 10
Wenn Sie Eltern sind, einen Computer mit Ihren Kindern teilen oder ein Teammanager, der möchte, dass sich seine Kollegen auf ihre Arbeit konzentrieren...