Abo
  • Services:
Anzeige
Die Ransomware Wanna Cry kann mit viel Glück entschlüsselt werden.
Die Ransomware Wanna Cry kann mit viel Glück entschlüsselt werden. (Bild: github.com/gentilkiwi/wanakiwi)

Ransomware: Entschlüsselungstool für Wanna Cry veröffentlicht

Die Ransomware Wanna Cry kann mit viel Glück entschlüsselt werden.
Die Ransomware Wanna Cry kann mit viel Glück entschlüsselt werden. (Bild: github.com/gentilkiwi/wanakiwi)

Der Erpressungstrojaner Wanna Cry hinterlässt auf manchen Rechnern Daten zur Wiederherstellung der verschlüsselten Dateien. Doch die Tools dürften nur bei wenigen Nutzern funktionieren.

Betroffene Nutzer des Erpressungstrojaners Wanna Cry können unter bestimmten Umständen ihre Daten ohne Zahlung eines Lösegeldes wiederherstellen. Der französische Sicherheitsforscher Adrien Guinet von Quarklabs entwickelte dazu das Tool Wannakey, das die Primzahlen zur Generierung des privaten RSA-Schlüssels aus dem Arbeitsspeicher des infizierten Rechners wiederherstellen soll. Offenbar funktioniert das Verfahren unter bestimmten Umständen bei Nutzern von Windows XP, Windows 2003 und Windows 7.

Anzeige

Laut Guinet ist dies nur möglich, wenn der Rechner nach der Infektion nicht neu gebootet und die entsprechenden Speicherbereiche nicht anderweitig überschrieben wurden. Seiner Analyse zufolge erzeugt der Prozess wcry.exe die erforderlichen Primzahlen für den privaten RSA-Schlüssel. Diese Zahlen werden danach nicht umgehend aus dem Speicher gelöscht. Das sei allerdings kein Programmierfehler, sondern liege an der Windows Crypto API. Unter Windows 10 lösche die Funktion CryptReleaseContext jedoch umgehend den Speicher, so dass ein Auslesen der Zahlen nicht mehr möglich sei.

Kaspersky: Fast ausschließlich Windows 7 betroffen

Auf Basis dieser Möglichkeit hat der Programmierer Benjamin Delpy inzwischen das Tool Wanakiwi entwickelt. Wanakiwi basiert wiederum auf dem Tool Wanadecrypt, das die verschlüsselten Dateien entschlüsselt, wenn der private Schlüssel bekannt ist. Dieser Schlüssel wird mit Wanakiwi nach der von Guinet beschriebenen Methode zu generieren versucht.

Ob es tatsächlich schon Nutzer gegeben hat, die das Tool erfolgreich einsetzen konnten, ist unklar. Auf die entsprechende Frage von Guinet auf Twitter hat es bislang keine positive Antwort gegeben. Bei Neuinfektionen könnte das Tool jedoch eine Möglichkeit sein, die verschlüsselten Daten wiederherzustellen. Wichtig ist vor allem, möglichst schnell zu handeln und den Rechner nicht zu booten.

Anders als zunächst vermutet, handelt es sich bei den betroffenen Betriebssystemen in den allermeisten Fällen um Windows 7. Laut einer Analyse des Sicherheitsunternehmens Kaspersky ist dies bei 98 Prozent der Opfer der Fall gewesen. Allerdings geht aus den veröffentlichten Zahlen nicht hervor, ob diese alle betroffenen Nutzer umfasst oder nur solche, die eine Antiviren-Software von Kaspersky installiert haben. Der Anteil von infizierten Rechnern mit Windows XP scheint demnach verschwindend gering gewesen zu sein. Windows 7 ist mit einem Anteil von knapp 50 Prozent immer noch die am weitesten verbreitete Windows-Version. Dahinter folgen Windows 10 mit rund 26 Prozent und Windows XP mit 7 Prozent.

Die Wanna-Cry-Ransomware verbreitet sich über einen Exploit aus dem Shadowbroker-Dump, der Schwachstellen im SMB-Dienst von Windows ausnutzt. Der Exploit wurde von der NSA entwickelt und über Jahre hinweg genutzt.


eye home zur Startseite
bazoom 22. Mai 2017

Danke das du uns an deinem Leben teilhaben lässt ;)

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Sparkasse Leipzig, Leipzig
  2. ARRK ENGINEERING, Ingolstadt
  3. Hornbach-Baumarkt-AG, Großraum Mannheim/Karlsruhe
  4. Schaeffler Technologies AG & Co. KG, Herzogenaurach


Anzeige
Top-Angebote
  1. 219,00€ (Bestpreis!)
  2. (u. a. Gear VR 66,00€, Gear S3 277,00€)
  3. 189,90€ statt 222,90€

Folgen Sie uns
       


  1. Autonomes Fahren

    Neues Verfahren beschleunigt Tests für autonome Autos

  2. Künstliche Intelligenz

    Alpha Go geht in Rente

  3. Security

    Telekom-Chef vergleicht Cyberangriffe mit Landminen

  4. Anga

    Kabelnetzbetreiber wollen schnelle Analogabschaltung

  5. Asus

    Das Zenbook Flip S ist 10,9 mm flach

  6. Hate Speech

    Facebook wehrt sich gegen Gesetz gegen Hass im Netz

  7. Blackberry

    Qualcomm muss fast 1 Milliarde US-Dollar zurückzahlen

  8. Surface Ergonomische Tastatur im Test

    Eins werden mit Microsofts Tastatur

  9. Russischer Milliardär

    Nonstop-Weltumrundung mit Solarflugzeug geplant

  10. BMW Motorrad Concept Link

    Auch BMW plant Elektromotorrad



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto Tesla gewährt rückwirkend Supercharger-Gratisnutzung
  2. Elektroautos Merkel hofft auf Bau von Batteriezellen in Deutschland
  3. Strategische Entscheidung Volvo setzt voll auf Elektro und trennt sich vom Diesel

In eigener Sache: Die Quanten kommen!
In eigener Sache
Die Quanten kommen!
  1. id Software "Global Illumination ist derzeit die größte Herausforderung"
  2. In eigener Sache Golem.de führt kostenpflichtige Links ein
  3. In eigener Sache Golem.de sucht Marketing Manager (w/m)

  1. Re: Akkuproblem noch viel schlimmer als bei PKW!

    Carlo Escobar | 11:36

  2. Re: "Hass im Netz" klingt nach Zensur für mich

    Niaxa | 11:35

  3. Re: Ein Auto steht 22h am Tag irgendwo rum

    Baker | 11:33

  4. Re: Unangenehme Beiträge hervorheben statt zu...

    plutoniumsulfat | 11:32

  5. Chicklet ist Mist

    1st1 | 11:32


  1. 11:25

  2. 10:51

  3. 10:50

  4. 10:17

  5. 10:12

  6. 09:53

  7. 09:12

  8. 09:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel