Mies programmiert: WannaCry könnte sich knacken lassen

WannaCrypt (Screenshot: Microsoft)

Wegen schlechter Programmierqualität könnte es möglich sein, die Ransomware WannaCry auszuhebeln. Sie kann nämlich Dateien ohne Schreibrechte nicht verschlüsseln. Stattdessen verschlüsselt sie eine Kopie und versteckt die Originale.

So haben sich das die Entwickler von WannaCry sicherlich nicht vorgestellt. Ihre Erpressungs- und Verschlüsselungssoftware arbeitet nicht so, wie man es eigentlich vermuten könnte. Dateien kann sie ohne Schreibrechte nicht verschlüsseln und erzeugt Kopien davon. Die Originale werden versteckt und zudem ist es möglich, bestimmte Dateien mit herkömmlichen Datenrettungstools wiederherzustellen.

Einem Blogeintrag der Forscher von Kaspersky Lab nach kann WannaCry Dateien nicht verschlüsseln, deren Berechtigungen auf „nur Lesen“ eingestellt sind. Stattdessen erstellt die Ransomware Kopien dieser Dateien, die dann verschlüsselt werden. Die Originale bleiben indes unberührt – sie erhalten aber das Dateiattribut „versteckt“. Eine Änderung der Ordnereinstellungen im Windows Explorer fördert die versteckten Dateien jedoch wieder zu Tage.

Darüber hinaus gibt es einen Fehler in der Lösch-Logik. Bei der Verschlüsselung der Dateien eines Opfers werden die Originaldateien gelesen, die Inhalte verschlüsselt und in einer Datei mit der Endung „WNCRYT“ gespeichert. Danach wird die Dateiendung zu „WNCRY“ geändert und die Originaldatei gelöscht.

Befinden sich die Originale in von der Ransomware als wichtig eingestuften Ordnern wie Desktop oder Dokumente auf dem Systemlaufwerk, werden sie vor der Löschung sie mit zufälligen Daten überschrieben, was eine Wiederherstellung unmöglich macht. Waren die Quelldateien jedoch auf einem anderen Laufwerk abgelegt, sollen sie eigentlich in einen Ordner „$Recycle“ verschoben und gelöscht werden. Oftmals verbleiben die Dateien jedoch am ursprünglich Speicherort und werden dort gelöscht – aber nicht überschrieben. Als Folge lassen sie sich in der Regel mit einer handelsüblichen Software zur Dateiwiederherstellung retten.

„Wenn Sie mit der WannaCry-Ransomware infiziert wurden, ist die Wahrscheinlichkeit hoch, dass Sie in der Lage sein werden, viele Dateien auf dem betroffenen Computer wiederherzustellen“, schreiben die Forscher. „Dafür können Sie kostenlose Datenrettungstools verwenden.“

Ein weiterer entscheidender Bug war schon kurz nach dem Ausbruch von WannaCry entdeckt worden. Die für die Verbreitung wichtige Wurmfunktion der Erpressersoftware greift nicht bei Windows XP – WannaCry kann zwar auf herkömmlichen Weg das Betriebssystem angreifen, nicht aber über das Netzwerk beziehungsweise die Zero-Day-Lücke in Windows XP. Dabei löst sie aber, wie Forscher zuletzt bei Tests herausfanden, unter Umständen einen Absturz des Betriebssystems aus.

Tags :Quellen:Mit Material von Stefan Beiersmann, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising