Kodierungsfehler in WannaCry-Ransomware könnten es Ihnen ermöglichen, Ihre Dateien zurückzubekommen

WannaCry-Ransomware hat einen Kodierungsfehler, der es Ihnen ermöglichen kann, Ihre Dateien zurückzubekommen

Letzten Monat wurde die Computerwelt von der WannaCry-Ransomware erschüttert, die zu ihrem Höhepunkt über eine Viertelmillion PCs weltweit betroffen hatte. Das bedeutet jedoch nicht, dass es sich um eine qualitativ hochwertige Malware handelte, da Forschungen zur Malware Berichte ergeben haben, dass Sie Ihre Dateien ohne einen Entschlüsselungsschlüssel entschlüsseln können, aufgrund von Fehlern im Kodierungsprozess von WannaCry.

Geduldige Forschung zahlt sich aus

Kaspersky Lab hat zu dem Schluss gekommen, dass die Ransomware Fehler in ihrem Code enthielt, die es einem Benutzer ermöglichen würden, ihre Dateien mit öffentlich verfügbaren Tools oder sogar einfachen Befehlen zu entschlüsseln/wiederherzustellen. Anton Ivanov, Senior Malware-Analyst bei Kaspersky Lab, zusammen mit seinen Kollegen Fedor Sinitsyn und Orkhan Mamedov, haben nach eingehender Forschung zur Malware 3 kritische Fehler detailliert beschrieben, die von den Entwicklern der Malware gemacht wurden und die es einem Sysadmin ermöglichen können, diese Dateien wiederherzustellen.

Laut den Forschern liegt das Problem in der Art und Weise, wie die Malware die Verschlüsselung durchführt. Die Malware benennt zunächst die Originaldateien mit der Erweiterung „.WNCRYT“ um, verschlüsselt sie dann und löscht anschließend die Originaldateien. Dies geschieht, weil es für eine Malware nicht möglich ist, schreibgeschützte Dateien direkt zu verschlüsseln oder zu ändern.

Daher bleiben die Originaldateien unberührt, wobei die Dateien nur ein „verstecktes“ Attribut erhalten, und die Wiederherstellung der Dateien erfordert lediglich, dass der Benutzer die ursprünglichen Attribute wiederherstellt. Dies war jedoch nicht der einzige Fehler; in einigen Fällen versäumte es die Malware sogar, die Originaldateien nach der Verschlüsselung zu löschen.

Wiederherstellung vom Systemlaufwerk

Die Forscher haben klargestellt, dass die Wiederherstellung von Dateien, die sich an wichtigen Orten wie Dokumenten oder im Desktop-Ordner befanden, ohne den Entschlüsselungsschlüssel nicht möglich sein wird, da die Malware so programmiert wurde, dass sie die Originaldateien mit zufälligen Daten überschreibt, bevor sie gelöscht werden. Somit wird jede Art von Wiederherstellung negiert. Daten von Dateien, die sich an anderen Orten befanden, könnten jedoch mithilfe einer Datenwiederherstellungssoftware aus dem temporären Ordner wiederhergestellt werden.

„…die Originaldatei wird nach %TEMP%\%d.WNCRYT verschoben (wobei %d einen numerischen Wert darstellt). Diese Dateien enthalten die Originaldaten und werden nicht überschrieben“, sagten die Forscher.

Die gleichen Forscher fanden auch heraus, dass die Malware einen versteckten „$RECYCLE“-Ordner erstellen würde, in den sie alle Originaldateien nach der Verschlüsselung überträgt. Alles, was Sie tun müssen, ist, den „$RECYCLE“-Ordner wieder sichtbar zu machen, und Sie erhalten alle Ihre Dateien zurück. In einigen Fällen blieben die Originaldateien aufgrund von „Synchronisierungsfehlern“ auch in ihren ursprünglichen Verzeichnissen, was es den Benutzern ermöglichte, ihre Dateien mit einfacher Datenwiederherstellungssoftware wiederherzustellen.

Hoffnung für WannaCry-Opfer

Diese Fehler kommen als Lichtblick für die Opfer der Malware, die ihre Dateien nicht wiederherstellen konnten.

„Wenn Sie mit der WannaCry-Ransomware infiziert waren, gibt es eine gute Möglichkeit, dass Sie viele der Dateien auf dem betroffenen Computer wiederherstellen können. Die Codequalität ist sehr niedrig. Um Dateien wiederherzustellen, können Sie die kostenlosen verfügbaren Tools zur Datenwiederherstellung verwenden.“

Die französischen Forscher Adrien Guinet und Benjamin Delpy machten die Wiederherstellung von Dateien möglich, indem sie ein kostenloses WannaCry-Entschlüsselungstool entwickelten, das auf Windows XP, Windows 7, Windows Vista, Windows Server 2003 und Server 2008 läuft. Während all dies geschieht, sucht die Welt weiterhin nach den Tätern der Schlagzeilen machenden Ransomware.

Quelle: The Hacker News