Opfer der Ransomware Wannacry können unter Umständen ihre Daten entschlüsseln, ohne dafür Lösegeld zu bezahlen. Dem französischen Sicherheitsforscher Adrien Guinet ist es gelungen, unter Windows XP, Windows 2003 und Windows 7 verschlüsselte Daten zu entschlüsseln, indem die Primzahlen zur Generierung des privaten RSA-Schlüssels aus dem Arbeitsspeicher von infizierten Rechnern wiederhergestellt werden.
Dies ist allerdings nur dann möglich, wenn der Rechner nach der Infektion nicht neu gebootet und die Speicherbereiche im Arbeitsspeicher nicht überschrieben wurden. Laut Guinet erzeugt der Prozess wcry.exe die erforderlichen Primzahlen für den privaten RSA-Schlüssel, welche danach nicht umgehend aus dem Speicher gelöscht würden. Dies aufgrund der Windows Crypto API bei älteren Windows-Systemen. Unter Windows 10 wird der Speicher umgehend gelöscht und ein Auslesen der Zahlen ist nicht mehr möglich.
Programmierer Benjamin Delpy hat dazu inzwischen das Tool
Wanakiwi entwickelt, welches auf dem Tool
Wanadecrypt basiert. Wanadecrypt erlaubt die Entschlüsselung der verschlüsselten Daten, wenn der private Schlüssel bekannt ist. Insbesondere bei Neuinfektionen könnte Wanakiwi nun von Nutzen sein, insofern Betroffene schnell handeln.
Laut einer
Analyse des Sicherheitsunternehmens Kasperky handelt es sich bei den betroffenen Betriebssystemen hauptsächlich um Windows 7.
Kaspersky spricht von 98 Prozent, unklar ist jedoch ob die Analyse nur Nutzer umfasst, welche eine Antiviren-Software von Kasperky nutzen. Der Analyse zufolge fiel der Anteil von infizierten Windows-XP-Rechnern verschwinden gering aus.
(swe)