Abo
  • IT-Karriere:

Ransomware: Entschlüsselungstool für Wanna Cry veröffentlicht

Der Erpressungstrojaner Wanna Cry hinterlässt auf manchen Rechnern Daten zur Wiederherstellung der verschlüsselten Dateien. Doch die Tools dürften nur bei wenigen Nutzern funktionieren.

Artikel veröffentlicht am ,
Die Ransomware Wanna Cry kann mit viel Glück entschlüsselt werden.
Die Ransomware Wanna Cry kann mit viel Glück entschlüsselt werden. (Bild: github.com/gentilkiwi/wanakiwi)

Betroffene Nutzer des Erpressungstrojaners Wanna Cry können unter bestimmten Umständen ihre Daten ohne Zahlung eines Lösegeldes wiederherstellen. Der französische Sicherheitsforscher Adrien Guinet von Quarklabs entwickelte dazu das Tool Wannakey, das die Primzahlen zur Generierung des privaten RSA-Schlüssels aus dem Arbeitsspeicher des infizierten Rechners wiederherstellen soll. Offenbar funktioniert das Verfahren unter bestimmten Umständen bei Nutzern von Windows XP, Windows 2003 und Windows 7.

Stellenmarkt
  1. thyssenkrupp Digital Projects, Essen
  2. Hays AG, Essen

Laut Guinet ist dies nur möglich, wenn der Rechner nach der Infektion nicht neu gebootet und die entsprechenden Speicherbereiche nicht anderweitig überschrieben wurden. Seiner Analyse zufolge erzeugt der Prozess wcry.exe die erforderlichen Primzahlen für den privaten RSA-Schlüssel. Diese Zahlen werden danach nicht umgehend aus dem Speicher gelöscht. Das sei allerdings kein Programmierfehler, sondern liege an der Windows Crypto API. Unter Windows 10 lösche die Funktion CryptReleaseContext jedoch umgehend den Speicher, so dass ein Auslesen der Zahlen nicht mehr möglich sei.

Kaspersky: Fast ausschließlich Windows 7 betroffen

Auf Basis dieser Möglichkeit hat der Programmierer Benjamin Delpy inzwischen das Tool Wanakiwi entwickelt. Wanakiwi basiert wiederum auf dem Tool Wanadecrypt, das die verschlüsselten Dateien entschlüsselt, wenn der private Schlüssel bekannt ist. Dieser Schlüssel wird mit Wanakiwi nach der von Guinet beschriebenen Methode zu generieren versucht.

Ob es tatsächlich schon Nutzer gegeben hat, die das Tool erfolgreich einsetzen konnten, ist unklar. Auf die entsprechende Frage von Guinet auf Twitter hat es bislang keine positive Antwort gegeben. Bei Neuinfektionen könnte das Tool jedoch eine Möglichkeit sein, die verschlüsselten Daten wiederherzustellen. Wichtig ist vor allem, möglichst schnell zu handeln und den Rechner nicht zu booten.

Anders als zunächst vermutet, handelt es sich bei den betroffenen Betriebssystemen in den allermeisten Fällen um Windows 7. Laut einer Analyse des Sicherheitsunternehmens Kaspersky ist dies bei 98 Prozent der Opfer der Fall gewesen. Allerdings geht aus den veröffentlichten Zahlen nicht hervor, ob diese alle betroffenen Nutzer umfasst oder nur solche, die eine Antiviren-Software von Kaspersky installiert haben. Der Anteil von infizierten Rechnern mit Windows XP scheint demnach verschwindend gering gewesen zu sein. Windows 7 ist mit einem Anteil von knapp 50 Prozent immer noch die am weitesten verbreitete Windows-Version. Dahinter folgen Windows 10 mit rund 26 Prozent und Windows XP mit 7 Prozent.

Die Wanna-Cry-Ransomware verbreitet sich über einen Exploit aus dem Shadowbroker-Dump, der Schwachstellen im SMB-Dienst von Windows ausnutzt. Der Exploit wurde von der NSA entwickelt und über Jahre hinweg genutzt.



Anzeige
Top-Angebote
  1. 149,90€
  2. (u. a. Tales of Vesperia: Definitive Edition für 21,99€, Tropico 5: Complete Collection für 6...
  3. (u. a. Hitman 2 - Gold Edition, The Elder Scrolls V: Skyrim - Special Edition, Battlefield 1)
  4. (u. a. Grimm - die komplette Serie, Atomic Blonde, Die Mumie, Jurassic World)

bazoom 22. Mai 2017

Danke das du uns an deinem Leben teilhaben lässt ;)


Folgen Sie uns
       


Harry Potter Wizards Unite angespielt

Harry Potter Go? Zum Glück hat der neue AR-Titel auch ein paar eigene Ideen zu bieten.

Harry Potter Wizards Unite angespielt Video aufrufen
Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    5G-Auktion: Warum der Preis der 5G-Frequenzen so hoch war
    5G-Auktion
    Warum der Preis der 5G-Frequenzen so hoch war

    Dass die Frequenzen für den 5G-Mobilfunk teuer wurden, lasten Telekom, Vodafone und Telefónica dem Newcomer United Internet an. Doch dies ist laut dem Netzplaner Kai Seim nicht so gewesen.
    Eine Analyse von Achim Sawall

    1. Funklöcher Hohe Bußgelder gegen säumige Mobilfunknetzbetreiber
    2. Bundesnetzagentur 5G-Frequenzauktion erreicht 6,5 Milliarden Euro
    3. 5G-Auktion Etablierte wollen Preis für 1&1 Drillisch hochtreiben

    Final Fantasy 7 Remake angespielt: Cloud Strife und die (fast) unendliche Geschichte
    Final Fantasy 7 Remake angespielt
    Cloud Strife und die (fast) unendliche Geschichte

    E3 2019 Das Remake von Final Fantasy 7 wird ein Riesenprojekt, allein die erste Episode erscheint auf zwei Blu-ray-Discs. Kurios: In wie viele Folgen das bereits enorm umfangreiche Original von 1997 aufgeteilt wird, kann bislang nicht mal der Producer sagen.

    1. Final Fantasy 14 Online Report Zwischen Cosplay, Kirmes und Kampfsystem
    2. Square Enix Final Fantasy 14 erhält Solo-Inhalte und besonderen Magier
    3. Rollenspiel Square Enix streicht Erweiterungen für Final Fantasy 15

      •  /