Hacks, Cracks und Sicherheitslücken

[article=http://thehackernews.com/2017/05/wannacry-ransomware-decryption-tool.html]
WannaCry Ransomware Decryption Tool Released; Unlock Files Without Paying Ransom
Thursday, May 18, 2017 Swati Khandelwal

48.4K 6585 2007 65.3K




If your PC has been infected by WannaCry – the ransomware that wreaked havoc across the world last Friday – you might be lucky to get your locked files back without paying the ransom of $300 to the cyber criminals.

Adrien Guinet, a French security researcher from Quarkslab, has discovered a way to retrieve the secret encryption keys used by the WannaCry ransomware for free, which works on Windows XP, Windows 7, Windows Vista, Windows Server 2003 and 2008 operating systems.

WannaCry Ransomware Decryption Keys

The WannaCry's encryption scheme works by generating a pair of keys on the victim's computer that rely on prime numbers, a "public" key and a "private" key for encrypting and decrypting the system’s files respectively.

To prevent the victim from accessing the private key and decrypting locked files himself, WannaCry erases the key from the system, leaving no choice for the victims to retrieve the decryption key except paying the ransom to the attacker.

But here's the kicker: WannaCry "does not erase the prime numbers from memory before freeing the associated memory," says Guinet.

Based on this finding, Guinet released a WannaCry ransomware decryption tool, named WannaKey, that basically tries to retrieve the two prime numbers, used in the formula to generate encryption keys from memory, and works on Windows XP only.

Note: Below I have also mentioned another tool, dubbed WanaKiwi, that works for Windows XP to Windows 7.

"It does so by searching for them in the wcry.exe process. This is the process that generates the RSA private key. The main issue is that the CryptDestroyKey and CryptReleaseContext does not erase the prime numbers from memory before freeing the associated memory." says Guinet

So, that means, this method will work only if:
  • The affected computer has not been rebooted after being infected.
  • The associated memory has not been allocated and erased by some other process.
"In order to work, your computer must not have been rebooted after being infected. Please also note that you need some luck for this to work (see below), and so it might not work in every case!," Guinet says.

"This is not really a mistake from the ransomware authors, as they properly use the Windows Crypto API."

While WannaKey only pulls prime numbers from the memory of the affected computer, the tool can only be used by those who can use those prime numbers to generate the decryption key manually to decrypt their WannaCry-infected PC’s files.

WanaKiwi: WannaCry Ransomware Decryption Tool
Good news is that another security researcher, Benjamin Delpy, developed an easy-to-use tool called "WanaKiwi," based on Guinet's finding, which simplifies the whole process of the WannaCry-infected file decryption.

All victims have to do is download WanaKiwi tool from Github and run it on their affected Windows computer using the command line (cmd).

WanaKiwi works on Windows XP, Windows 7, Windows Vista, Windows Server 2003 and 2008, confirmed Matt Suiche from security firm Comae Technologies, who has also provided some demonstrations showing how to use WanaKiwi to decrypt your files.

Although the tool won't work for every user due to its dependencies, still it gives some hope to WannaCry's victims of getting their locked files back for free even from Windows XP, the aging, largely unsupported version of Microsoft's operating system. [/article]
 
Habe das gestern Abend gesehen. Fand ich sehr schlecht recherchiert und aufbereitet...
 
Xaver Koch schrieb:
Für mich als Laien (mehr als ein Netzwerk einrichten und PCs zusammenbauen/konfigurieren habe ich noch nicht gemacht) hat das sehr anschaulich gewirkt. Was hat Dir denn nicht gefallen bzw. was war schlecht recherchiert?
Zum Vergrößern anklicken....
um die dramatik rauszunehmen:
nicht/schlechtgesichertes wlan suchen > einloggen> Netzwerk nach Schmartgeräteen scannen ### Zeitaufwand bis hierher ohne rumfahren und wlansignale scannen 2-5Min
hat man ein gerät gefunden testet man sich durch die remote konsolen mit dem Standart-Hersteller Passwort. dafür hat man eine Liste mit defaultlogins. bekommt man auf jeder Herstellerseite /-forum oder kann die listen direkt runterladen. Meistens ist es Telnet. ein Relikt aus der Urzeit, das sträflich unterbewertet und vernachlässigt wird. hier ist zu 90% noch ein DefaultPW drin. > Zack du bist auf einem system mit adminrechten. dort kann man dann programme einrichten, vernwartung aktivieren. den rest bequem von zuhause aus machen. den Netzwerk und damit das Haus aushörchen. ÜBER NE OLLE GLÜHBIRNE.:doh:
bis hierhin hat man noch nicht einmal zusatzprogramme gebraucht. das geht alles mit den Bortmitteln der Betriebssysteme. man muss nur wissen was man wie einstellt.

Und die vorgestellten "Hackertools" sind schlicht Netzwerkanalyseprogramme (z.B. Wireshark, Kismet oder Aircrack-ng/AirPcap) womit ein Netzwerkadmin fast täglich arbeitet. Das ist das "Office" des Admins, wenn amn so will. Wenn dan in den Medien das zu "Angriffswerkzeugen" hochstilisiert wird, ringt es mir immer wieder ein schmunzeln ab.:zwinker:

Sonst wäre MS Project auch ein Einbrecherwerkzeug, weil Diebe ihren Einbruchsablauf damit visualisiert haben. :biggrin2:

Was aber schön ist: es ist anschaulich und leicht verständlich und bringt den Kern gut rüber. Smart ist nicht immer klug. :idea:
IMHO: Schliessysteme an Türen dürfen IMHO NIE smart sein.
 
so ist, es meine Alarmanlage zu hause wird über einen guten alten Schlüssel scharf geschaltet und der Schlüssel selber kann nur mit meiner Code Karte dupliziert werden.
 
Xaver Koch schrieb:
Wie "sicher" ist eigentlich das mitgelieferte lange Passwort bei neueren Fritz-Boxen? Oder sollte man dieses gleich ändern? Zudem ist mein WLan nur an, wenn ich es benötige (bei den Nachbarn läuft es inkl. Fritz-Box wohl 24 Stunden durch).
Zum Vergrößern anklicken....

Grds. erst mal nicht "unsicher". Trotzdem würde ich Dir immer empfehlen, den WLAN Schlüssel und - viel wichtiger- die Zugangsdaten für die Box zu ändern.

Ansonsten kann Dein WLAN auch 24 Stunden online bleiben, da passiert nix. Wie @silverSl!DE schon ausführte geht das Problem von ungesicherten Netzwerken aus, in denen dann noch schlecht gesicherte "smart" Geräte vorhanden sind.

Was die Heimnetzwerksicherheit angeht, noch ein Tipp aus kürzlicher Erfahrung bei einem Kunden: Solltet Ihr Powerline nutzen, sichert das UNBEDINGT genauso sorgfältig ab wie Euer WLAN.
 
NY152 schrieb:
Was die Heimnetzwerksicherheit angeht, noch ein Tipp aus kürzlicher Erfahrung bei einem Kunden: Solltet Ihr Powerline nutzen, sichert das UNBEDINGT genauso sorgfältig ab wie Euer WLAN.
Zum Vergrößern anklicken....
jep. kann ich so bestätigen. So konnte man u.A. über das Stromnetz in das nich/schlecht gesicherte Netzwerk des Nachbarhauses gelangen ;)
 
Genau den Vektor habe ich neulich bei besagtem Kunden zu seinem großen Erstaunen genutzt.

Jede Kette ist so stark wie ihr schwächstes Glied!
 
Klar kann alles gehackt werden. Es kann auch in jedes Haus eingebrochen werden. Trotzdem beschränkenich mich nicht zur sicherheit auf den Aufenthalt im Freien...
 
Halloooo, das ist ein Ausstattungsmerkmal!
Falls man den grauen Star bekommt und das Handy einen nicht mehr erkennt kann man immer noch ein altes Foto von sich nehem und das Handy wieder freischalten.

Mal im erst wer klaut sich selber sein Handy und schaltet mit seinem Foto das Handy wieder frei.
Wenn mir das Teil geklaut wird oder ich es irgendwo verliere haben die Finder normal keinen zugriff auf meine Bilder und können das Handy auch nicht freischalten.
Also was soll der unnötige Selbstversuch von dem Video!
 
Doch der Finder braucht doch ein Bild von mir damit er es entsperren kann nur so bringt das S8 die 500€!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten