Von Wannacry verschlüsselte Daten lassen sich entschlüsseln
Quelle: SITM

Von Wannacry verschlüsselte Daten lassen sich entschlüsseln

Unter bestimmten Umständen lassen sich durch die Ransomware Wannacry verschlüsselte Daten wiederherstellen. Ein Sicherheitsforscher entwickelte dazu ein Tool, welches unter gewissen Umständen bei Nutzern von Windows XP, Windows 2003 und Windows 7 funktioniert.
22. Mai 2017

     

Opfer der Ransomware Wannacry können unter Umständen ihre Daten entschlüsseln, ohne dafür Lösegeld zu bezahlen. Dem französischen Sicherheitsforscher Adrien Guinet ist es gelungen, unter Windows XP, Windows 2003 und Windows 7 verschlüsselte Daten zu entschlüsseln, indem die Primzahlen zur Generierung des privaten RSA-Schlüssels aus dem Arbeitsspeicher von infizierten Rechnern wiederhergestellt werden.


Dies ist allerdings nur dann möglich, wenn der Rechner nach der Infektion nicht neu gebootet und die Speicherbereiche im Arbeitsspeicher nicht überschrieben wurden. Laut Guinet erzeugt der Prozess wcry.exe die erforderlichen Primzahlen für den privaten RSA-Schlüssel, welche danach nicht umgehend aus dem Speicher gelöscht würden. Dies aufgrund der Windows Crypto API bei älteren Windows-Systemen. Unter Windows 10 wird der Speicher umgehend gelöscht und ein Auslesen der Zahlen ist nicht mehr möglich.
Programmierer Benjamin Delpy hat dazu inzwischen das Tool Wanakiwi entwickelt, welches auf dem Tool Wanadecrypt basiert. Wanadecrypt erlaubt die Entschlüsselung der verschlüsselten Daten, wenn der private Schlüssel bekannt ist. Insbesondere bei Neuinfektionen könnte Wanakiwi nun von Nutzen sein, insofern Betroffene schnell handeln.


Laut einer Analyse des Sicherheitsunternehmens Kasperky handelt es sich bei den betroffenen Betriebssystemen hauptsächlich um Windows 7. Kaspersky spricht von 98 Prozent, unklar ist jedoch ob die Analyse nur Nutzer umfasst, welche eine Antiviren-Software von Kasperky nutzen. Der Analyse zufolge fiel der Anteil von infizierten Windows-XP-Rechnern verschwinden gering aus. (swe)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER