• IT-Karriere:
  • Services:

Ransomware: Entschlüsselungstool für Wanna Cry veröffentlicht

Der Erpressungstrojaner Wanna Cry hinterlässt auf manchen Rechnern Daten zur Wiederherstellung der verschlüsselten Dateien. Doch die Tools dürften nur bei wenigen Nutzern funktionieren.

Artikel veröffentlicht am ,
Die Ransomware Wanna Cry kann mit viel Glück entschlüsselt werden.
Die Ransomware Wanna Cry kann mit viel Glück entschlüsselt werden. (Bild: github.com/gentilkiwi/wanakiwi)

Betroffene Nutzer des Erpressungstrojaners Wanna Cry können unter bestimmten Umständen ihre Daten ohne Zahlung eines Lösegeldes wiederherstellen. Der französische Sicherheitsforscher Adrien Guinet von Quarklabs entwickelte dazu das Tool Wannakey, das die Primzahlen zur Generierung des privaten RSA-Schlüssels aus dem Arbeitsspeicher des infizierten Rechners wiederherstellen soll. Offenbar funktioniert das Verfahren unter bestimmten Umständen bei Nutzern von Windows XP, Windows 2003 und Windows 7.

Stellenmarkt
  1. Schaeffler Automotive Buehl GmbH & Co. KG, Bühl
  2. CITTI Handelsgesellschaft mbH & Co. KG, Kiel

Laut Guinet ist dies nur möglich, wenn der Rechner nach der Infektion nicht neu gebootet und die entsprechenden Speicherbereiche nicht anderweitig überschrieben wurden. Seiner Analyse zufolge erzeugt der Prozess wcry.exe die erforderlichen Primzahlen für den privaten RSA-Schlüssel. Diese Zahlen werden danach nicht umgehend aus dem Speicher gelöscht. Das sei allerdings kein Programmierfehler, sondern liege an der Windows Crypto API. Unter Windows 10 lösche die Funktion CryptReleaseContext jedoch umgehend den Speicher, so dass ein Auslesen der Zahlen nicht mehr möglich sei.

Kaspersky: Fast ausschließlich Windows 7 betroffen

Auf Basis dieser Möglichkeit hat der Programmierer Benjamin Delpy inzwischen das Tool Wanakiwi entwickelt. Wanakiwi basiert wiederum auf dem Tool Wanadecrypt, das die verschlüsselten Dateien entschlüsselt, wenn der private Schlüssel bekannt ist. Dieser Schlüssel wird mit Wanakiwi nach der von Guinet beschriebenen Methode zu generieren versucht.

Ob es tatsächlich schon Nutzer gegeben hat, die das Tool erfolgreich einsetzen konnten, ist unklar. Auf die entsprechende Frage von Guinet auf Twitter hat es bislang keine positive Antwort gegeben. Bei Neuinfektionen könnte das Tool jedoch eine Möglichkeit sein, die verschlüsselten Daten wiederherzustellen. Wichtig ist vor allem, möglichst schnell zu handeln und den Rechner nicht zu booten.

Anders als zunächst vermutet, handelt es sich bei den betroffenen Betriebssystemen in den allermeisten Fällen um Windows 7. Laut einer Analyse des Sicherheitsunternehmens Kaspersky ist dies bei 98 Prozent der Opfer der Fall gewesen. Allerdings geht aus den veröffentlichten Zahlen nicht hervor, ob diese alle betroffenen Nutzer umfasst oder nur solche, die eine Antiviren-Software von Kaspersky installiert haben. Der Anteil von infizierten Rechnern mit Windows XP scheint demnach verschwindend gering gewesen zu sein. Windows 7 ist mit einem Anteil von knapp 50 Prozent immer noch die am weitesten verbreitete Windows-Version. Dahinter folgen Windows 10 mit rund 26 Prozent und Windows XP mit 7 Prozent.

Die Wanna-Cry-Ransomware verbreitet sich über einen Exploit aus dem Shadowbroker-Dump, der Schwachstellen im SMB-Dienst von Windows ausnutzt. Der Exploit wurde von der NSA entwickelt und über Jahre hinweg genutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. 860 Evo 500 GB SSD für 74,00€, Portable T5 500 GB SSD 86,00€, Evo Select microSDXC 128...

bazoom 22. Mai 2017

Danke das du uns an deinem Leben teilhaben lässt ;)


Folgen Sie uns
       


Rahmenloser TV von Samsung (CES 2020)

Der fast unsichtbare Rand des Q950TS hat anscheinend nicht nur Vorteile.

Rahmenloser TV von Samsung (CES 2020) Video aufrufen
Galaxy-S20-Serie im Hands-on: Samsung will im Kameravergleich an die Spitze
Galaxy-S20-Serie im Hands-on
Samsung will im Kameravergleich an die Spitze

Mit der neuen Galaxy-S20-Serie verbaut Samsung erstmals seine eigenen Isocell-Kamerasensoren mit hoher Auflösung, auch im Zoombereich eifert der Hersteller der chinesischen Konkurrenz nach. Wer die beste Kamera will, muss allerdings zum sehr großen und vor allem wohl teuren Ultra-Modell greifen.
Ein Hands on von Tobias Költzsch, Peter Steinlechner und Martin Wolf

  1. Micro-LED-Bildschirm Samsung erweitert The Wall auf 583 Zoll
  2. Nach 10 kommt 20 Erste Details zum Nachfolger des Galaxy S10
  3. Vorinstallierte App Samsung-Smartphones schicken Daten an chinesische Firma

Alphakanal: Gimp verrät Geheimnisse in Bildern
Alphakanal
Gimp verrät Geheimnisse in Bildern

Wer in Gimp in einem Bild mit Transparenz Bildbereiche löscht, der macht sie nur durchsichtig. Dieses wenig intuitive Verhalten kann dazu führen, dass Nutzer ungewollt Geheimnisse preisgeben.


    Unitymedia: Upgrade beim Kabelstandard, Downgrade bei Fritz OS
    Unitymedia
    Upgrade beim Kabelstandard, Downgrade bei Fritz OS

    Der Kabelnetzbetreiber Unitymedia stellt sein Netz derzeit auf Docsis 3.1 um. Für Kunden kann das viel Arbeit beim Austausch ihrer Fritzbox bedeuten, wie ein Fallbeispiel zeigt.
    Von Günther Born

    1. Hessen Vodafone bietet 1 GBit/s in 70 Städten und kleineren Orten
    2. Technetix Docsis 4.0 mit 10G im Kabelnetz wird Wirklichkeit
    3. Docsis 3.1 Magenta Telekom bringt Gigabit im Kabelnetz

      •  /