Menü
Security

Erpressungstrojaner WannaCry: Mängel im Code steigern Chancen für Opfer

Sicherheitsforscher haben sich den Code der Ransomware angeschaut und diverse Schnitzer gefunden. Mit etwas Glück können Opfer wieder Zugriff auf ihre Dateien bekommen.

Von
vorlesen Drucken Kommentare lesen 38 Beiträge
Erpressungstrojaner WannaCry: Mängel im Code steigern Chancen für Opfer

Diverse Sicherheitsforscher von Kaspersky haben den Code des Erpressungstrojaners WannaCry auseinandergenommen. Dabei sind sie auf verschiedene Fehler gestoßen, die Opfern zugute kommen könnten. Unter bestimmten Voraussetzungen erlangen sie wieder Zugriff auf verschlüsselte Dateien. Insgesamt beurteilt Kaspersky die Qualität des WannaCry-Codes als minderwertig.

Angriff mit Krypto-Trojaner WannaCry

Datenrettungsprogramm als Rettungsanker

Laut Kaspersky löscht WannaCry unverschlüsselte Original-Dateien ausschließlich in bestimmten Ordnern (etwa Desktop und Dokumente) ohne Chance auf eine Wiederherstellung, indem er sie mit Zufallsdaten überschreibt. Liegen die Daten woanders, entfernt der Schädling diese nur von der Festplatte. Dabei markiert Windows die Dateien lediglich als gelöscht.

Prinzipiell sollte also durchaus eine Chance bestehen, die unverschlüsselten Originalversionen mit einem Datenrettungsprogramm zu rekonstruieren. Bewährte kostenlose UndeleteTools sind Autopsy, PhotoRec und Recuva. Liegen die von WannaCry in Beschlag genommenen Daten auf einer anderen Festplatte oder Partition als Windows, könnte eine Wiederherstellung ebenfalls funktionieren.

Weitere Rettungsanker

Aufgrund eines Bugs soll WannaCry schreibgeschützte Dateien zwar verschlüsseln, aber die Originalversionen nicht löschen, sondern nur verstecken. Auch in diesem Fall besteht eine Chance, dass Opfer wieder Zugriff auf ihre Daten bekommen.

Ende Mai haben andere Sicherheitsforscher ein Entschlüsselungstool für WannaCry veröffentlicht. Dieses funktioniert offenbar aber nur in seltenen Fällen und auch nur, wenn ein betroffener Computer nach der Infektion nicht neu gestartet wurde.

In eigener Sache

In unserem Webinar "So schützen Sie sich vor Erpressungstrojanern der nächsten Generation!" am morgigen Mittwoch wird WannaCry natürlich auch vorkommen. Noch sind ein paar Plätze frei. (des)