Erpressungstrojaner WannaCry: Mängel im Code steigern Chancen für Opfer

Sicherheitsforscher haben sich den Code der Ransomware angeschaut und diverse Schnitzer gefunden. Mit etwas Glück können Opfer wieder Zugriff auf ihre Dateien bekommen.

In Pocket speichern vorlesen Druckansicht 38 Kommentare lesen
Erpressungstrojaner WannaCry: Mängel im Code steigern Chancen für Opfer
Lesezeit: 2 Min.
Inhaltsverzeichnis

Diverse Sicherheitsforscher von Kaspersky haben den Code des Erpressungstrojaners WannaCry auseinandergenommen. Dabei sind sie auf verschiedene Fehler gestoßen, die Opfern zugute kommen könnten. Unter bestimmten Voraussetzungen erlangen sie wieder Zugriff auf verschlüsselte Dateien. Insgesamt beurteilt Kaspersky die Qualität des WannaCry-Codes als minderwertig.

Angriff mit Krypto-Trojaner WannaCry

Laut Kaspersky löscht WannaCry unverschlüsselte Original-Dateien ausschließlich in bestimmten Ordnern (etwa Desktop und Dokumente) ohne Chance auf eine Wiederherstellung, indem er sie mit Zufallsdaten überschreibt. Liegen die Daten woanders, entfernt der Schädling diese nur von der Festplatte. Dabei markiert Windows die Dateien lediglich als gelöscht.

Prinzipiell sollte also durchaus eine Chance bestehen, die unverschlüsselten Originalversionen mit einem Datenrettungsprogramm zu rekonstruieren. Bewährte kostenlose UndeleteTools sind Autopsy, PhotoRec und Recuva. Liegen die von WannaCry in Beschlag genommenen Daten auf einer anderen Festplatte oder Partition als Windows, könnte eine Wiederherstellung ebenfalls funktionieren.

Aufgrund eines Bugs soll WannaCry schreibgeschützte Dateien zwar verschlüsseln, aber die Originalversionen nicht löschen, sondern nur verstecken. Auch in diesem Fall besteht eine Chance, dass Opfer wieder Zugriff auf ihre Daten bekommen.

Ende Mai haben andere Sicherheitsforscher ein Entschlüsselungstool für WannaCry veröffentlicht. Dieses funktioniert offenbar aber nur in seltenen Fällen und auch nur, wenn ein betroffener Computer nach der Infektion nicht neu gestartet wurde.

In unserem Webinar "So schützen Sie sich vor Erpressungstrojanern der nächsten Generation!" am morgigen Mittwoch wird WannaCry natürlich auch vorkommen. Noch sind ein paar Plätze frei. (des)