Entschlüsselung für Ransomware WannaCry verfügbar

Peter Marwan,
Verschlüsselung (Bild: Shutterstock)

Die Tools funktionieren ersten Tests zufolge bei Windows XP und Windows 7. Dafür müssen jedoch bestimmte Voraussetzungen erfüllt sein. Die Entwickler raten zum Beispiel, keinen Neustart durchzuführen, damit Informationen aus dem Arbeitsspeicher genutzt werden können.

Knapp eine Woche nach dem Beginn der massenhaften Angriffe mit WannaCry stehen jetzt erste Tools zur Verfügung, um von der der Ransomware verschlüsselte Dateien wieder zu entschlüsseln. Die Tools wurden unter Windows XP und Windows 7 erfolgreich getestet. Damit sie funktionieren, müssen allerdings bestimmte Voraussetzungen erfüllt sein.

Verschlüsselung (Bild: Shutterstock)

Der französische Sicherheitsforscher Adrien Guinet bietet das Tool Wannakey an. Es sucht nicht nach dem von WannaCry verwendeten Schlüssel, sondern nach den Arbeitsspeicher abgelegten Primzahlen. Daraus kann es dann den Schlüssel erneut berechnen. Dafür muss jedoch seit der Verschlüsselung noch kein Neustart durchgeführt worden sein.

Benjamin Delpy, ein weiterer französischer Sicherheitsforscher hat mit Wanakiwi ein weiteres Entschlüsselungs-Tool vorgelegt. Zunächst wurde angenommen, die Entschlüsselung funktioniere nur bei Rechnern mit Windows XP. Matt Suiche von Comae Technologies hat dann jedoch berichtet, dass sie sich auch unter Windows 7 nutzen lassen.

Zunächst wurde angenommen, dass vor allem Rechner mit Windows XP durch WannaCry gefährdet sind. Für noch unterstützte Betriebssysteme hatte Microsoft bereits im März einen Patch für die ausgenutzte Lücke zur Verfügung gestellt – zwar nachdem der Exploit dafür der NSA gestohlen und damit bekannt geworden war, aber noch lange bevor die massenhaften Angriffe mit WannaCry begonnen hatten, die sie ausnutzten.

Ransomware WannaCry / WanaCrypt0r 2.0 (Screenshot: Avast)

Jetzt hat sich jedoch herausgestellt dass Windows-XP-Systeme zwar infiziert werden können, ein Fehler bei der Implementierung des EternalBlue-Exploits es jedoch verhindert, dass sich die Malware über die Wurmfunktion innerhalb eines Netzes ausbreitet. Experten halten die Malware – trotz des Aufsehens, das sie verursacht hat – ohnehin für laienhaft programmiert. Der Exploit – der ja aber von der NSA stammt – sei schon ausgereift, die Ransomware-Funktion jedoch dilettantisch ausgeführt.

Mehr zum Thema

Wie man gefährliche E-Mails identifiziert

Gefälschte E-Mails enthalten häufig Viren oder andere Angreifer. Oft sollen auch private und sensible Daten gestohlen werden. Anhand weniger Kriterien lassen sich gefährliche E-Mails jedoch schnell erkennen.

zum Artikel bei ZDNet.de »

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Windows XP aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.