Sicherheitsforscher von Kaspersky haben den Code des Ransomware-Virus WannaCry analysiert und dabei einige Fehler entdeckt. Dank dieser Schwachstellen besteht für Opfer nun eine Chance, wieder Zugriff auf ihre Dateien zu erlangen.
Unter bestimmten Voraussetzungen erlangen sie wieder Zugriff auf verschlüsselte Dateien. Insgesamt beurteilt Kaspersky die Qualität des WannaCry-Codes als minderwertig.
Angriff mit Krypto-Trojaner WannaCry
Es begann am Abend des 12. Mai 2017 mit Schreckensmeldungen aus Großbritannien: Der Krypto-Trojaner WannaCry verbreitete sich weltweit, legte hunderttausende nicht gepatchter oder veralteter Rechner lahm und richtete immensen Schaden an.
- WannaCry & Co.: So schützen Sie sich
- WannaCry: Was wir über die Ransomware-Attacke wissen
- WannaCry: Angriff mit Ransomware legt weltweit Zehntausende Rechner lahm
- Kommentar: Staatliche Dienste müssen Erkenntnisse teilen
- WannaCry: Gewaltiger Schaden, geringer Erlös
- WannaCry: Microsoft liefert Sicherheits-Patches für veraltete Windows-Versionen
- Ransomware WannaCry befällt Rechner der Deutschen Bahn
- Ransomware WannaCry: Sicherheitsexperte findet "Kill-Switch" ? durch Zufall
Datenrettungsprogramm als Rettungsanker
Laut Kaspersky löscht WannaCry unverschlüsselte Original-Dateien ausschließlich in bestimmten Ordnern (etwa Desktop & Dokumente) ohne Chance auf eine Wiederherstellung, indem er sie mit Zufallsdaten überschreibt. Liegen die Daten woanders; entfernt der Schädling diese nur von der Festplatte. Dabei markiert Windows die Dateien lediglich als gelöscht.
Prinzipiell sollte also durchaus eine Chance bestehen die unverschlüsselten Originalversionen mit einem Datenrettungsprogramm zu rekonstruieren. Bewährte kostenlose UndeleteTools sind Autopsy PhotoRec und Recuva. Liegen die von WannaCry in Beschlag genommenen Daten auf einer anderen Festplatte oder Partition als Windows, könnte eine Wiederherstellung ähnlich wie funktionieren.
Weitere Rettungsanker
Aufgrund eines Bugs soll WannaCry schreibgeschützte Dateien zwar verschlüsseln jedoch die Originalversionen nicht löschen, allerdings nur verstecken. Auch in diesem Fall besteht eine Chance – dass Opfer wieder Zugriff auf ihre Daten bekommen.
Ende Mai haben andere Sicherheitsforscher ein Entschlüsselungstool für WannaCry veröffentlicht. Dieses funktioniert offenbar aber nur in nicht häufigen Fällen und ebenfalls nur, wenn ein betroffener Computer nach der Infektion nicht neu gestartet wurde.
In eigener Sache
In unserem Webinar "So schützen Sie sich vor Erpressungstrojanern der nächsten Generation!" am morgigen Mittwoch wird WannaCry natürlich auch vorkommen. Noch sind ein paar Plätze frei.
Kommentare