Abo
  • Services:
Anzeige
Die Ransomware Wanna Cry kann mit viel Glück entschlüsselt werden.
Die Ransomware Wanna Cry kann mit viel Glück entschlüsselt werden. (Bild: github.com/gentilkiwi/wanakiwi)

Ransomware: Entschlüsselungstool für Wanna Cry veröffentlicht

Die Ransomware Wanna Cry kann mit viel Glück entschlüsselt werden.
Die Ransomware Wanna Cry kann mit viel Glück entschlüsselt werden. (Bild: github.com/gentilkiwi/wanakiwi)

Der Erpressungstrojaner Wanna Cry hinterlässt auf manchen Rechnern Daten zur Wiederherstellung der verschlüsselten Dateien. Doch die Tools dürften nur bei wenigen Nutzern funktionieren.

Betroffene Nutzer des Erpressungstrojaners Wanna Cry können unter bestimmten Umständen ihre Daten ohne Zahlung eines Lösegeldes wiederherstellen. Der französische Sicherheitsforscher Adrien Guinet von Quarklabs entwickelte dazu das Tool Wannakey, das die Primzahlen zur Generierung des privaten RSA-Schlüssels aus dem Arbeitsspeicher des infizierten Rechners wiederherstellen soll. Offenbar funktioniert das Verfahren unter bestimmten Umständen bei Nutzern von Windows XP, Windows 2003 und Windows 7.

Anzeige

Laut Guinet ist dies nur möglich, wenn der Rechner nach der Infektion nicht neu gebootet und die entsprechenden Speicherbereiche nicht anderweitig überschrieben wurden. Seiner Analyse zufolge erzeugt der Prozess wcry.exe die erforderlichen Primzahlen für den privaten RSA-Schlüssel. Diese Zahlen werden danach nicht umgehend aus dem Speicher gelöscht. Das sei allerdings kein Programmierfehler, sondern liege an der Windows Crypto API. Unter Windows 10 lösche die Funktion CryptReleaseContext jedoch umgehend den Speicher, so dass ein Auslesen der Zahlen nicht mehr möglich sei.

Kaspersky: Fast ausschließlich Windows 7 betroffen

Auf Basis dieser Möglichkeit hat der Programmierer Benjamin Delpy inzwischen das Tool Wanakiwi entwickelt. Wanakiwi basiert wiederum auf dem Tool Wanadecrypt, das die verschlüsselten Dateien entschlüsselt, wenn der private Schlüssel bekannt ist. Dieser Schlüssel wird mit Wanakiwi nach der von Guinet beschriebenen Methode zu generieren versucht.

Ob es tatsächlich schon Nutzer gegeben hat, die das Tool erfolgreich einsetzen konnten, ist unklar. Auf die entsprechende Frage von Guinet auf Twitter hat es bislang keine positive Antwort gegeben. Bei Neuinfektionen könnte das Tool jedoch eine Möglichkeit sein, die verschlüsselten Daten wiederherzustellen. Wichtig ist vor allem, möglichst schnell zu handeln und den Rechner nicht zu booten.

Anders als zunächst vermutet, handelt es sich bei den betroffenen Betriebssystemen in den allermeisten Fällen um Windows 7. Laut einer Analyse des Sicherheitsunternehmens Kaspersky ist dies bei 98 Prozent der Opfer der Fall gewesen. Allerdings geht aus den veröffentlichten Zahlen nicht hervor, ob diese alle betroffenen Nutzer umfasst oder nur solche, die eine Antiviren-Software von Kaspersky installiert haben. Der Anteil von infizierten Rechnern mit Windows XP scheint demnach verschwindend gering gewesen zu sein. Windows 7 ist mit einem Anteil von knapp 50 Prozent immer noch die am weitesten verbreitete Windows-Version. Dahinter folgen Windows 10 mit rund 26 Prozent und Windows XP mit 7 Prozent.

Die Wanna-Cry-Ransomware verbreitet sich über einen Exploit aus dem Shadowbroker-Dump, der Schwachstellen im SMB-Dienst von Windows ausnutzt. Der Exploit wurde von der NSA entwickelt und über Jahre hinweg genutzt.


eye home zur Startseite
bazoom 22. Mai 2017

Danke das du uns an deinem Leben teilhaben lässt ;)



Anzeige

Stellenmarkt
  1. Hochschule Ostwestfalen-Lippe, Lemgo
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. Fraunhofer-Institut für Angewandte Informationstechnik FIT, Sankt Augustin
  4. Robert Bosch GmbH, Schwieberdingen


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)

Folgen Sie uns
       


  1. Ronny Verhelst

    Tele-Columbus-Chef geht nach Hause

  2. Alphabet

    Googles Gewinn geht wegen EU-Strafe zurück

  3. Microsoft

    Nächste Hololens nutzt Deep-Learning-Kerne

  4. Schwerin

    Livestream-Mitschnitt des Stadtrats kostet 250.000 Euro

  5. Linux-Distributionen

    Mehr als 90 Prozent der Debian-Pakete reproduzierbar

  6. Porsche Design

    Huaweis Porsche-Smartwatch kostet 800 Euro

  7. Smartphone

    Neues Huawei Y6 für 150 Euro bei Aldi erhältlich

  8. Nahverkehr

    18 jähriger E-Ticket-Hacker in Ungarn festgenommen

  9. Bundesinnenministerium

    Neues Online-Bürgerportal kostet 500 Millionen Euro

  10. Linux-Kernel

    Android O filtert Apps großzügig mit Seccomp



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

Ausprobiert: JPEGmini Pro komprimiert riesige JPEGs um bis zu 80 Prozent
Ausprobiert
JPEGmini Pro komprimiert riesige JPEGs um bis zu 80 Prozent
  1. Google KI erstellt professionelle Panoramen
  2. Bildbearbeitung Google gibt Nik Collection auf

Kryptowährungen: Bitcoin steht vor grundlegenden Änderungen
Kryptowährungen
Bitcoin steht vor grundlegenden Änderungen
  1. Die Woche im Video Strittige Standards, entzweite Bitcoins, eine Riesenkonsole
  2. Drogenhandel Weltweit größter Darknet-Marktplatz Alphabay ausgehoben
  3. Kryptowährung Bitcoin notiert auf neuem Rekordhoch

  1. Re: nächste Hololens, wo ist die momentane Hololens?

    Emulex | 06:53

  2. Re: Eine Beleidigung für echte Fotografen

    Dennisb456 | 06:52

  3. Re: USB Anschluss

    Peter Brülls | 06:44

  4. Re: DSLRs?

    ArcherV | 06:38

  5. Re: Andersherum: Wieso nicht das Unternehmen...

    oleurgast | 05:16


  1. 23:54

  2. 22:48

  3. 16:37

  4. 16:20

  5. 15:50

  6. 15:35

  7. 14:30

  8. 14:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel