WannaCry: Daten retten mit WannaKiwi und WannaKey – Das muss man beachten!

Hoffnung für mit dem WannaCry-Virus infizierte PCs: Für Rechner mit Windows XP und Windows 7 gibt es jetzt mit WannaKey und WannaKiwi zwei Entschlüsselungs-Tools, die die Daten mit Glück retten kann – allerdings gibt es einen Haken: Der Rechner darf nach der Infektion durch den WannaCry Virus noch nicht ausgeschaltet oder neugestartet worden sein, sonst lässt sich der verwendete Schlüssel nicht wiederherstellen. Unter Windows 10 funktioniert das Tool aber nicht mehr, da Microsoft die Speicherverwaltung geändert hat.

Anscheinend sind vor allem Windows 7 Rechner betroffen, unter Windows 10 soll der Virus nicht mehr aktiv werden können. Wer sich die Ransomware „WannaCry“ auf einem Windows XP oder Windows 7 Rechner eingefangen hat, kann vielleicht aufatmen: Durch einen Fehler bei der Speicherverwaltung der älteren Windows-Versionen lassen sich unter Umständen die Werte wiederherstellen, mit denen der Virus die Daten auf dem PC verschlüsselt hat: Klappt das, sollen sich die Daten auch ohne Lösegeld-Zahlung wieder herstellen lassen.

Wichtig ist aber, dass der Rechner nach der Infizierung mit dem WannaCry / WannaCrypt Virus noch nicht ausgeschaltet oder neugestartet wurde: Nur dann soll sich der Schlüssel aus dem RAM wiederherstellen lassen – damit hilft das Tool in den meisten Fällen vermutlich nur bei Neu-Infektionen, ist aber auf jeden Fall einen Versuch wert. Wer noch nicht infiziert wurde, sollte daher schnell das Sicherheitsupdate von Microsoft installieren.

Zum Retten der durch den Virus verschlüsselten Daten gibt es mittlerweile zwei Programme: Das ursprüngliche Tool „WannaKey“ wurde Adrien Guinet von Quarkslab entwickelt und läuft nur unter Windows XP. Auf der gleichen Idee zum Entschlüsseln der Daten basiert „WannaKiwi“, das neben XP auch unter Windows 7 die Daten retten konnte – allerding nur, wenn der Rechner nach der Infektion mit dem WannaCry / WannaCrypt Virus noch nicht neugestartet oder ausgeschaltet wurde. Zum Herunterladen von „WannaKey“ für Windows XP öffnet man die GitHub Seite des Projektes und klickt rechts auf „Clone or Download“ » „Download ZIP“. In dem ZIP-Archiv befindet sich im Ordner „bin“ dann die ausführbare Datei, die die Primzahlen suchen soll, mit denen der Schlüsselcode des Trojaners die Dateien des Rechners gesperrt hat.

 
So geht’s: WannaKey starten und Daten retten

Zum Starten reicht aber leider nicht ein einfacher Doppelklick auf das Programm-Icon: Zunächst braucht man die Prozess-Idee des Trojaners „wcry.exe“. Dazu startet man den Windows-Taskmanager mit einem Rechtsklick auf eine leere Fläche der Taskbar unten und wählt ihn dann im Menü aus. In der Standardeinstellung wird die Prozess-ID (PID) aber nicht angezeigt, so dass man sie eventuell erst unter „Ansicht“ » „Spalten auswählen“ aktivieren muss:

Hat man die Prozess-ID (PID) des Trojaners (wcry.exe) gefunden, muss man mit der Windows-Suche noch den Ort der Datei „00000000.pky“ finden. Erst dann kann man die Windows Eingabeaufforderung öffnen und zum Ordner des WannaKey Tools wechseln (am besten legt man sich die Datei „search-primes.exe“ dafür auf den Desktop). Mit diesem Befehl startet man schließlich das Tool:

search_primes.exe PID Pfad\zur\Datei\00000000.pky

WanaKiwi rettet Daten unter Windows XP und auch Windows 7!

Das neuere Programm WanaKiwi des Franzosen Benjamin Delpy nutzt die gleiche Idee zum Retten der Daten wie auch schon WannaKey von Adrien Guinet, sucht aber selbstständig nach der Datei „00000000.pky“. Außerdem funktioniert es mittlerweile unter Windows XP und Windows 7. Auch hier werden die Primzahlen im Hauptspeicher gesucht, um den Schlüssel des Trojaners zu knacken und die Daten wiederherstellen zu können – daher darf der Rechner ebenfalls noch nicht neugestartet worden sein.

Das Tool funktioniert nämlich nur, weil Windows XP und anscheinend auch Windows 7 anders als das aktuelle Windows 10 die für den RSA Schlüssel von dem Virus generierten Primzahlen nicht ordentlich aus dem Hauptpeicher löschen und das Programm versucht, dieso so zu rekonstruieren. Startet man den PC aber in der Zwischenzeit neu, wird der Hauptspeicher geleert und das Programm funktioniert nicht mehr.

 
WannaCry Virus infizierte 200.000 Windows-PCs

Der WannaCry Virus hatte Ende letzter Woche begonnen, zahlreiche PCs weltweit zu infizieren: Experten gehen mittlerweile von über 200.000 infizierten Rechnern aus, die von dem Virus befallen wurden. Der Virus nutzt eine Sicherheitslücke von Windows, die ursprünglich von dem amerikanischen Außengeheimdienst NSA missbraucht wurde und von Hackern Anfang des Jahres publik gemacht wurde. Microsoft stellte daraufhin ein Update zur Verfügung, dass zunächst aber nur für die aktuell noch unterstützten Windows-Versionen erschien – Nutzer von Windows XP oder Vista waren dem Virus schutzlos ausgeliefert.

Neben vielen Privat-PCs wurden aber auch große Firmen und Institutionen infiziert: In Deutschland fielen teilweise PCs der Deutschen Bahn aus, die für die Anzeigetafeln an den Bahnhöfen zuständig waren. In England konnten einige Krankenhäuser nicht mehr normal arbeiten, da einige PCs nicht mehr funktionierten. Der Virus versucht sich nämlich selbstständig im Netzwerk weiterzuverbreiten, sobald er einen Computer darin infizieren konnte.