DU KAN HA FLAKS: Sikkerhetsekspert Adrien Guinet har klart å lage et verktøy som kan dekryptere filer rammet av Wannacry – uten at man må betale bakmennene. Foto: Ritchie B. Tongo / EPA / NTB Scanpix
DU KAN HA FLAKS: Sikkerhetsekspert Adrien Guinet har klart å lage et verktøy som kan dekryptere filer rammet av Wannacry – uten at man må betale bakmennene. Foto: Ritchie B. Tongo / EPA / NTB ScanpixVis mer

Kan fjerne Wannacry uten å betale

Han kan ha funnet nøkkelen som gir filene tilbake - uten å betale løsepenger

Men det fungerer ikke på alle maskiner.

I forrige uke skrev vi om Wannacry; et utidig løsepengevirus som rammet flere hundre tusen maskiner verden over.

Spesielt siden det også evnet å spre seg fra maskin til maskin, uten innvendinger fra brukeren. Dette på grunn av et sikkerhetshull i Windows, der maskiner som ikke hadde installert sikkerhetsoppdateringen fra mars var sårbare.

Fant primtallene

Når man lager en krypteringsnøkkel, er den basert på store primtall med mange sifre i, typisk over 100. Når disse multipliseres, får man et enda større tall, som kun har to faktorer – de to primtallene. Å finne de to er praktisk talt umulig selv med enorme mengder maskinkraft.

Men sikkerhetsekspert Adrien Guinet har funnet ut at disse to primtallene ikke umiddelbart slettes fra arbeidsminnet på en maskin som kjører Windows XP.

Dermed har han klart å finne krypteringsnøkkelen og dekryptere filer – uten å betale løsepenger til bakmennene.

Har lansert verktøy

Guinet har lansert et verktøy på kildekodenettstedet Github som kan brukes av alle. Som nevnt fungerer det kun for Windows XP, og man kan ikke ha tatt en omstart av maskinen etter infeksjonen.

Sikkerhetseksperten hevder at du også må ha litt flaks – delen av arbeidsminnet som inneholder disse primtallene kan ikke ha blitt overskrevet med andre ting.

Slik brukes verktøyet

Verktøyet kan lastes ned fra Github og fungerer på følgende vis:

- Først må du finne prosess-ID-en til wcry.exe. Det gjør du ved å åpne oppgavebehandling i Windows (ctrl-shift-esc), trykke på prosesser og finne wcry.exe. Ved siden av står et nummer under PID-kolonnen.

Slik ser oppgavebehandlingen ut i Windows XP. Hver kjørende prosess har en PID i kolonne nummer to. Foto: Microsoft Vis mer

- Deretter må du finne fila 00000000.pky ved å bruke Windows-søket. Noter deg stien til denne fila, for eksempel c:\mappe1\mappe2\mappe3\

- Selve verktøyet kan lastes ned herfra.

Så kan du kjøre verktøyet. Åpne et kommandolinjevindu (start, kjør, skriv cmd og trykk enter), naviger deg til mappen med verktøyet og kjør kommandoen search_primes.exe 123 mappe1\mappe2\mappe3\00000000.pky, der 123 er prosess-ID-en.

Dersom primtallene fortsatt lå i minnet, genereres det ei fil, priv.key, i mappen du sto i. Dette er dekrypteringsnøkkelen som kan brukes for å låse opp filene igjen.

Det kan du gjøre med verktøyet Wanafork, som også ligger på GitHub. Ifølge Guinet fungerer det ikke rett-frem på Windows XP ennå, men om du fikk en priv.key-fil har du i hvert fall det du vil trenge for å dekryptere filene når Wanafork fungerer som det skal.

[via Mashable]

LES OGSÅ:
Wannacry-angrepet – digital terrorisme på sitt verste
Sju ting du bør passe deg for på nettet
Norske oversettere får oppdrag fra nettsvindlere