WannaCry: Tools für Entschlüsselung von Daten

Weltweit hat die Erpresser-Software (Ransomware) WannaCry mehrere 100.000 Windows-Rechner befallen und die Daten darauf ver­schlüsselt. Mittler­weile haben IT-Sicherheits­experten mehrere Tools entwickelt, mit deren Hilfe und viel Glück die ver­schlüsselten Infor­mationen wieder zugäng­lich gemacht werden können.

Von Benjamin Delp stammt das Tool WannaKiwi. Er stützte sich auf Vorarbeiten von Adrien Guinet.

Mit dem Tool lässt sich aus dem Speicher des befallenen Systems der private User-Key auslesen, der zur Verschlüsselung der Daten auf der Festplatte beziehungsweise SSD verwendet wurde.

WannaKiwi: Für Windows XP und Windows 7

WannaKiwi unterstützt nur die Server-Betriebssysteme Windows Server 2003 sowie Windows Server 2008 und 2008 R2, außerdem Windows XP, Vista und Windows 7. Das sollte aber keine große Einschränkung sein, weil zu über 90 Prozent die Version 7 betroffen ist.

Hinzu kommt jedoch, dass der Rechner nicht neu gebootet werden durfte damit der Inhalt des Speicherbereichs erhalten bleibt.

Vermutlich haben das jedoch viele User getan. Bei Rechnern, die in den Energiesparmodus übergingen, können die User dagegen mit WannaKiwi einen Rettungsversuch starten.

In diversen Blog-Posts erläutert Matt Suiche, Gründer und Chef des IT-Sicherheitsunternehmens Comae Technologies, wie sich WannaKiwi in der Praxis einsetzen lässt. Eine etwas weniger technische Einführung gibt Adam Kujawa von Malwarebytes.

Tool gegen .onion- und .wallet-Variante

ESET, ein Anbieter Sicherheitssoftware, hat mit dem Crysis .wallet/.onion Decryptor ein kostenloses Tool bereitgestellt, das auf eine spezielle Variante von WannaCry abzielt. Sie verschlüsselt Daten und verpasst diesen die neuen Dateiendungen ".onion" und ".wallet".

Der ESET Crysis Decryptor  steht auf dieser Web-Seite zum Download bereit. Informationen dazu, wie die Software eingesetzt werden sollte, sind hier zu finden.

Entschlüsselungs-Tool von Trend Micro

Auch der IT-Security-Spezialist Trend Micro hat mit dem Ransomware File Decryptor eine Entschlüsselungssoftware für WannaCry und diverse Unterarten der Schadsoftware bereitgestellt. Ebenso wie WannaKiwi und das Tool von ESET sollte der File Decryptor möglichst schnell nach der Infektion eingesetzt werden.

Dann besteht die Chance, den Schlüssel aus dem Arbeitsspeicher zu extrahieren. Allzu große Hoffnungen macht Trend Micro betroffenen Windows-Usern allerdings nicht.

Bei der Uralt-Version XP seien die Chancen akzeptabel, verschlüsselte Files wiederherzustellen. Weniger gut ist es laut Trend Micro um Dateien auf Systemen mit neueren Windows-Versionen bestellt. Das Unternehmen rät dennoch dazu, zumindest einen Versuch zu unternehmen, die verschlüsselten Daten zu retten.

Backup, Backup und Patching

Letztlich dürfte den meisten Nutzern nur eine Wahl bleiben: Die verschlüsselten Daten "abzuschreiben", den Rechner nur auf aufzusetzen und ein – hoffentlich vorhandenes – aktuelles Backup wiedereinzuspielen.

Die zweite Lehre aus WannaCry: Möglichst zeitnah Patches einspielen. Das ist sicherlich abhängig von der Unternehmens-Policy. Etliche IT-Abteilungen wollen neue Software, inklusive Patches, erst testen, bevor sie auf Produktivsystemen installiert wird. In einem Fall wie WannaCry ist es jedoch notwendig, sicherheitskritische Updates auch einmal im Schnelldurchgang zu checken.