Sicherheitsforscher von Kaspersky haben den Code des Erpressungstrojaners WannaCry analysiert und sind dabei auf verschiedene Fehler gestoßen, die Betroffenen zugute kommen könnten. Sie können unter bestimmten Voraussetzungen wieder Zugriff auf verschlüsselte Dateien erlangen. Kaspersky beurteilt die Qualität des WannaCry-Codes insgesamt als minderwertig.

WannaCry löscht laut Kaspersky unverschlüsselte Original-Dateien ausschließlich in bestimmten Ordnern (z.B. Desktop und Dokumente) ohne Chance auf eine Wiederherstellung. Dabei überschreibt er diese mit Zufallsdaten. Allerdings entfernt der Schädling Dateien nur von der Festplatte, wenn diese woanders liegen und Windows markiert sie als gelöscht.

Dadurch ergibt sich prinzipiell die Chance, die unverschlüsselten Originalversionen mit einem Datenrettungsprogramm zu rekonstruieren. Beispielsweise Autopsy, Recuva und PhotoRec sind kostenfreie UndeleteTools. Ebenfalls könnte eine Wiederherstellung funktionieren, wenn die von WannaCry betroffenen Dateien auf einer anderen Festplatte oder Partition als Windows liegen.

Schreibgeschützte Dateien werden von WannaCry zwar verschlüsselt, aber aufgrund eines Bugs soll es die Originalversionen nicht löschen, sondern nur verstecken. Betroffene können auch in diesem Fall eine Chance haben, wieder Zugriff auf ihre Daten zu bekommen.

(ts, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE