WannaCry: Schlechter Code erhöht Chancen auf Entschlüsselung

Die Ransomware kann Dateien ohne Schreibrechte nicht verschlüsseln. Stattdessen verschlüsselt sie eine Kopie und versteckt die Originale. Zudem ist es unter Umständen möglich, bestimmte Dateien mit herkömmlichen Datenrettungstools wiederherzustellen.

Sicherheitsforscher von Kaspersky Lab haben bei der Analyse des Codes von WannaCry zahlreiche Fehler gefunden. Die Qualität der Ransomware bezeichnen sie als „sehr schlecht“. Einige Fehler bieten Opfern von WannaCry sogar die Möglichkeit, Dateien ohne Zahlung eines Lösegelds zu entschlüsseln beziehungsweise wiederherzustellen.

WannaCrypt (Screenshot: Microsoft)Einem Blogeintrag der Forscher zufolge kann WannaCry Dateien nicht verschlüsseln, deren Berechtigungen auf „nur Lesen“ eingestellt sind. Stattdessen erstellt die Ransomware Kopien dieser Dateien, die dann verschlüsselt werden. Die Originale bleiben indes unberührt – sie erhalten aber das Dateiattribut „versteckt“. Eine Änderung der Ordnereinstellungen im Windows Explorer fördert die versteckten Dateien jedoch wieder zu Tage.

Darüber hinaus gibt es einen Fehler in der Lösch-Logik. Bei der Verschlüsselung der Dateien eines Opfers werden die Originaldateien gelesen, die Inhalte verschlüsselt und in einer Datei mit der Endung „WNCRYT“ gespeichert. Danach wird die Dateiendung zu „WNCRY“ geändert und die Originaldatei gelöscht.

Befinden sich die Originale in von der Ransomware als wichtig eingestuften Ordnern wie Desktop oder Dokumente auf dem Systemlaufwerk, werden sie vor der Löschung sie mit zufälligen Daten überschrieben, was eine Wiederherstellung unmöglich macht. Waren die Quelldateien jedoch auf einem anderen Laufwerk abgelegt, sollen sie eigentlich in einen Ordner „$Recycle“ verschoben und gelöscht werden. Oftmals verbleiben die Dateien jedoch am ursprünglich Speicherort und werden dort gelöscht – aber nicht überschrieben. Als Folge lassen sie sich in der Regel mit einer handelsüblichen Software zur Dateiwiederherstellung retten.

„Wenn Sie mit der WannaCry-Ransomware infiziert wurden, ist die Wahrscheinlichkeit hoch, dass Sie in der Lage sein werden, viele Dateien auf dem betroffenen Computer wiederherzustellen“, schreiben die Forscher. „Dafür können Sie kostenlose Datenrettungstools verwenden.“

Ein weiterer entscheidender Bug war schon kurz nach dem Ausbruch von WannaCry entdeckt worden. Die für die Verbreitung wichtige Wurmfunktion der Erpressersoftware greift nicht bei Windows XP – WannaCry kann zwar auf herkömmlichen Weg das Betriebssystem angreifen, nicht aber über das Netzwerk beziehungsweise die Zero-Day-Lücke in Windows XP. Dabei löst sie aber, wie Forscher zuletzt bei Tests herausfanden, unter Umständen einen Absturz des Betriebssystems aus.

HIGHLIGHT

Wettbewerbsvorteile durch effizienten Kundenservice

Telefonieren Sie noch oder skypen Sie schon, lautete einmal ein einprägsamer Werbespruch, der einfach zum Ausdruck brachte, dass eine ältere Technologie von etwas Besserem ersetzt wird. Das Gleiche gilt für die Kommunikation mit Kunden. Nutzen Sie schon Communication Enabled Business Processes (CEBP) oder warten Sie, bis der Wettbewerb Sie überholt

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Kaspersky Lab, Malware, Ransomware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu WannaCry: Schlechter Code erhöht Chancen auf Entschlüsselung

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *