WannaCry: Schlechter Code erhöht Chancen auf Entschlüsselung

Die Ransomware kann Dateien ohne Schreibrechte nicht verschlüsseln. Stattdessen verschlüsselt sie eine Kopie und versteckt die Originale. Zudem ist es unter Umständen möglich, bestimmte Dateien mit herkömmlichen Datenrettungstools wiederherzustellen.

Sicherheitsforscher von Kaspersky Lab haben bei der Analyse des Codes von WannaCry zahlreiche Fehler gefunden. Die Qualität der Ransomware bezeichnen sie als „sehr schlecht“. Einige Fehler bieten Opfern von WannaCry sogar die Möglichkeit, Dateien ohne Zahlung eines Lösegelds zu entschlüsseln beziehungsweise wiederherzustellen.

WannaCrypt (Screenshot: Microsoft)Einem Blogeintrag der Forscher zufolge kann WannaCry Dateien nicht verschlüsseln, deren Berechtigungen auf „nur Lesen“ eingestellt sind. Stattdessen erstellt die Ransomware Kopien dieser Dateien, die dann verschlüsselt werden. Die Originale bleiben indes unberührt – sie erhalten aber das Dateiattribut „versteckt“. Eine Änderung der Ordnereinstellungen im Windows Explorer fördert die versteckten Dateien jedoch wieder zu Tage.

Darüber hinaus gibt es einen Fehler in der Lösch-Logik. Bei der Verschlüsselung der Dateien eines Opfers werden die Originaldateien gelesen, die Inhalte verschlüsselt und in einer Datei mit der Endung „WNCRYT“ gespeichert. Danach wird die Dateiendung zu „WNCRY“ geändert und die Originaldatei gelöscht.

Befinden sich die Originale in von der Ransomware als wichtig eingestuften Ordnern wie Desktop oder Dokumente auf dem Systemlaufwerk, werden sie vor der Löschung sie mit zufälligen Daten überschrieben, was eine Wiederherstellung unmöglich macht. Waren die Quelldateien jedoch auf einem anderen Laufwerk abgelegt, sollen sie eigentlich in einen Ordner „$Recycle“ verschoben und gelöscht werden. Oftmals verbleiben die Dateien jedoch am ursprünglich Speicherort und werden dort gelöscht – aber nicht überschrieben. Als Folge lassen sie sich in der Regel mit einer handelsüblichen Software zur Dateiwiederherstellung retten.

„Wenn Sie mit der WannaCry-Ransomware infiziert wurden, ist die Wahrscheinlichkeit hoch, dass Sie in der Lage sein werden, viele Dateien auf dem betroffenen Computer wiederherzustellen“, schreiben die Forscher. „Dafür können Sie kostenlose Datenrettungstools verwenden.“

Ein weiterer entscheidender Bug war schon kurz nach dem Ausbruch von WannaCry entdeckt worden. Die für die Verbreitung wichtige Wurmfunktion der Erpressersoftware greift nicht bei Windows XP – WannaCry kann zwar auf herkömmlichen Weg das Betriebssystem angreifen, nicht aber über das Netzwerk beziehungsweise die Zero-Day-Lücke in Windows XP. Dabei löst sie aber, wie Forscher zuletzt bei Tests herausfanden, unter Umständen einen Absturz des Betriebssystems aus.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Kaspersky, Malware, Ransomware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu WannaCry: Schlechter Code erhöht Chancen auf Entschlüsselung

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *