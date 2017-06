Sicherheitsforscher haben sich den Code der Ransomware angeschaut und diverse Schnitzer gefunden. Mit etwas Glück können Opfer wieder Zugriff auf ihre Dateien bekommen.

Diverse Sicherheitsforscher von Kaspersky haben den Code des Erpressungstrojaners WannaCry auseinandergenommen. Dabei sind sie auf verschiedene Fehler gestoßen, die Opfern zugute kommen könnten. Unter bestimmten Voraussetzungen erlangen sie wieder Zugriff auf verschlüsselte Dateien. Insgesamt beurteilt Kaspersky die Qualität des WannaCry-Codes als minderwertig.

Datenrettungsprogramm als Rettungsanker

Laut Kaspersky löscht WannaCry unverschlüsselte Original-Dateien ausschließlich in bestimmten Ordnern (etwa Desktop und Dokumente) ohne Chance auf eine Wiederherstellung, indem er sie mit Zufallsdaten überschreibt. Liegen die Daten woanders, entfernt der Schädling diese nur von der Festplatte. Dabei markiert Windows die Dateien lediglich als gelöscht.

Prinzipiell sollte also durchaus eine Chance bestehen, die unverschlüsselten Originalversionen mit einem Datenrettungsprogramm zu rekonstruieren. Bewährte kostenlose UndeleteTools sind Autopsy, PhotoRec und Recuva. Liegen die von WannaCry in Beschlag genommenen Daten auf einer anderen Festplatte oder Partition als Windows, könnte eine Wiederherstellung ebenfalls funktionieren.

Weitere Rettungsanker

Aufgrund eines Bugs soll WannaCry schreibgeschützte Dateien zwar verschlüsseln, aber die Originalversionen nicht löschen, sondern nur verstecken. Auch in diesem Fall besteht eine Chance, dass Opfer wieder Zugriff auf ihre Daten bekommen.

Ende Mai haben andere Sicherheitsforscher ein Entschlüsselungstool für WannaCry veröffentlicht. Dieses funktioniert offenbar aber nur in seltenen Fällen und auch nur, wenn ein betroffener Computer nach der Infektion nicht neu gestartet wurde.

