Unter bestimmten Umständen können betroffene Nutzer des Erpressungstrojaners Wanna Cry ihre Daten auf ihren Windows-Systemen ohne Zahlung eines Lösegeldes wiederherstellen.

Dazu entwickelte der französische Sicherheitsforscher Adrien Guinet von Quarklabs das Tool Wannakey, das die Primzahlen zur Generierung des privaten RSA-Schlüssels aus dem Arbeitsspeicher des infizierten Rechners wiederherstellen soll. Das Verfahren funktioniert offenbar unter bestimmten Umständen bei Nutzern von Windows XP, Windows 2003 und Windows 7.

Dies sei laut Guinet nur möglich, sofern der betroffene Rechner nach der Infektion nicht neu gebootet und die entsprechenden Speicherbereiche nicht anderweitig überschrieben wurden. Der Prozess wcry.exe erzeugt, seiner Analyse zufolge, die erforderlichen Primzahlen für den privaten RSA-Schlüssel und werden anschließend nicht umgehend aus dem Speicher gelöscht.

Das liege an der Windows Crypto API und sei kein Programmierfehler. Die Funktion CryptReleaseContext lösche unter Windows 10 allerdings umgehend den Speicher, so dass ein Auslesen der Zahlen nicht mehr möglich sei.

(ts, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE