Ransomware: Entschlüsselungstool für Wanna Cry veröffentlicht

Der Erpressungstrojaner Wanna Cry hinterlässt auf manchen Rechnern Daten zur Wiederherstellung der verschlüsselten Dateien. Doch die Tools dürften nur bei wenigen Nutzern funktionieren.

Artikel veröffentlicht am ,
Die Ransomware Wanna Cry kann mit viel Glück entschlüsselt werden.
Die Ransomware Wanna Cry kann mit viel Glück entschlüsselt werden. (Bild: github.com/gentilkiwi/wanakiwi)

Betroffene Nutzer des Erpressungstrojaners Wanna Cry können unter bestimmten Umständen ihre Daten ohne Zahlung eines Lösegeldes wiederherstellen. Der französische Sicherheitsforscher Adrien Guinet von Quarklabs entwickelte dazu das Tool Wannakey, das die Primzahlen zur Generierung des privaten RSA-Schlüssels aus dem Arbeitsspeicher des infizierten Rechners wiederherstellen soll. Offenbar funktioniert das Verfahren unter bestimmten Umständen bei Nutzern von Windows XP, Windows 2003 und Windows 7.

Laut Guinet ist dies nur möglich, wenn der Rechner nach der Infektion nicht neu gebootet und die entsprechenden Speicherbereiche nicht anderweitig überschrieben wurden. Seiner Analyse zufolge erzeugt der Prozess wcry.exe die erforderlichen Primzahlen für den privaten RSA-Schlüssel. Diese Zahlen werden danach nicht umgehend aus dem Speicher gelöscht. Das sei allerdings kein Programmierfehler, sondern liege an der Windows Crypto API. Unter Windows 10 lösche die Funktion CryptReleaseContext jedoch umgehend den Speicher, so dass ein Auslesen der Zahlen nicht mehr möglich sei.

Kaspersky: Fast ausschließlich Windows 7 betroffen

Auf Basis dieser Möglichkeit hat der Programmierer Benjamin Delpy inzwischen das Tool Wanakiwi entwickelt. Wanakiwi basiert wiederum auf dem Tool Wanadecrypt, das die verschlüsselten Dateien entschlüsselt, wenn der private Schlüssel bekannt ist. Dieser Schlüssel wird mit Wanakiwi nach der von Guinet beschriebenen Methode zu generieren versucht.

Ob es tatsächlich schon Nutzer gegeben hat, die das Tool erfolgreich einsetzen konnten, ist unklar. Auf die entsprechende Frage von Guinet auf Twitter hat es bislang keine positive Antwort gegeben. Bei Neuinfektionen könnte das Tool jedoch eine Möglichkeit sein, die verschlüsselten Daten wiederherzustellen. Wichtig ist vor allem, möglichst schnell zu handeln und den Rechner nicht zu booten.

Anders als zunächst vermutet, handelt es sich bei den betroffenen Betriebssystemen in den allermeisten Fällen um Windows 7. Laut einer Analyse des Sicherheitsunternehmens Kaspersky ist dies bei 98 Prozent der Opfer der Fall gewesen. Allerdings geht aus den veröffentlichten Zahlen nicht hervor, ob diese alle betroffenen Nutzer umfasst oder nur solche, die eine Antiviren-Software von Kaspersky installiert haben. Der Anteil von infizierten Rechnern mit Windows XP scheint demnach verschwindend gering gewesen zu sein. Windows 7 ist mit einem Anteil von knapp 50 Prozent immer noch die am weitesten verbreitete Windows-Version. Dahinter folgen Windows 10 mit rund 26 Prozent und Windows XP mit 7 Prozent.

Die Wanna-Cry-Ransomware verbreitet sich über einen Exploit aus dem Shadowbroker-Dump, der Schwachstellen im SMB-Dienst von Windows ausnutzt. Der Exploit wurde von der NSA entwickelt und über Jahre hinweg genutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Suchmaschine
Bing mit ChatGPT war für kurze Zeit online

Microsoft will ChatGPT in die Suchmaschine Bing einbauen. Was uns erwartet, konnten einige Nutzer kurzfristig sehen.

Suchmaschine: Bing mit ChatGPT war für kurze Zeit online
Artikel
  1. Politische Ansichten auf Google Drive: Letzte Generation mit Datenschutz-GAU
    Politische Ansichten auf Google Drive
    Letzte Generation mit Datenschutz-GAU

    Die Aktivisten der Letzten Generation haben Daten von Unterstützern mitsamt politischer Meinung und Gefängnisbereitschaft ungeschützt auf Google Drive gelagert.

  2. Madison Square Garden: Gesichtserkennungs-Software weist unliebsame Besucher ab
    Madison Square Garden
    Gesichtserkennungs-Software weist unliebsame Besucher ab

    Im New Yorker Madison Square Garden kommt seit Jahren Gesichtserkennungs-Software zum Einsatz - mit unangenehmen Folgen für Kanzleimitarbeiter.

  3. Nach Prämiensenkung: Weniger Marktanteil für Elektroautos 2023 erwartet
    Nach Prämiensenkung
    Weniger Marktanteil für Elektroautos 2023 erwartet

    Die Förderprämien für Elektroautos wurden gesenkt, was nach Ansicht der Autohersteller zu einem Rückgang des Marktanteils führen wird.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Roccat Magma + Burst Pro 59€ • Roccat Vulcan 121 89,99€ • Gigabyte B650 Gaming X AX 185,99€ • Alternate: Toshiba MG10 20 TB 299€ • Alternate Weekend Sale • MindStar: Fastro MS200 SSD 2TB 95€ • Mindfactory DAMN-Deals: Grakas, CPUs & Co. • RAM-Tiefstpreise • PCGH Cyber Week [Werbung]
    •  /