Archiv für den Autor: vodafone-adlershof

Entschlüsselungstool für WannaCry verfügbar

Der Verschlüsselungstrojaner WannaCry hinterlässt auf einigen Rechnern Daten zur Wiederherstellung der verschlüsselten Dateien.

WannaCrypt
WannaCrypt Meldung

Betroffene User des Verschlüsselungstrojaner können unter Umständen ihre Daten ohne eine Zahlung an die Erpresser wiederherstellen. Der französische Sicherheitsforscher Adrien Guinet von Quarklabs stellte dazu das Tool Wannakey, das die Primzahlen zur Generierung des privaten RSA-Schlüssels aus dem Arbeitsspeicher des infizierten Rechners wiederherstellen soll. Offenbar funktioniert das Verfahren bei Usern von Windows XP, 2003 und 7.

Die Ransomware Wanna Cry kann mit viel Glück entschlüsselt werden.
Entschlüsselung mithilfe von WannaKey


Laut Guinet ist die Wiederherstellung nur möglich, wenn der Rechner nach der Infektion nicht neu gestartet und die entsprechenden Speicherbereiche nicht anderweitig überschrieben wurden. Seiner Analyse zufolge erzeugt der Prozess wcry.exe die erforderlichen Primzahlen für den privaten RSA-Schlüssel. Diese Zahlen werden danach nicht umgehend aus dem Speicher gelöscht. Das sei allerdings kein Programmierfehler, sondern liege an der Windows Crypto API. Unter Windows 10 ist ein Auslesen der Zahlen nicht mehr möglich.

Sollte also Dein Rechner befallen sein:

Unter keinen Umständen weiter mit diesem Arbeiten und auch nicht neu starten!

Download von WannaKey

Das Tool Wannakey downloaden und nach Laufwerk C:\ entpacken.

 

 

PID von WannaCry ermitteln

 

Dann den TaskManager öffnen und unter Details den Dienst wcry.exe suchen
und seine PID notieren. (In diesem Fall die PID 6900).

 

Danach im Windows Explorer die Datei 00000000.pky suchen und den Path dorthin notieren.

WannaKeyJetzt die Befehlszeile als Administrator öffen und zum Verzeichnis C:\wannakey-master\bin\ wechseln.

search_primes.exe PID path\to\00000000.pky eingeben.

Wenn eine gültige Primzahl im Speicher gefunden wird, wird die priv.key Datei im aktuellen Verzeichnis generiert.

Mit dem Tool WannaFork und der priv.key Datei kann man dann seine Dateien Entschlüsseln.

Mit etwas Glück seid Ihr dann wieder im Besitz Eurer Daten und denkt demnächst daran Euren Rechner auf automatische Updates einzustellen.