WannaCry Entschlüsselungs-Tool für Win XP und Windows 7 hat einen Haken

Hoffnung für WannaCry-PCs: Für Rechner mit Windows XP und Windows 7 gibt es jetzt ein Entschlüsselungs-Tool, dass die Daten mit Glück retten kann – allerdings hat es einen Haken: Der Rechner darf nach der Infektion durch den WannaCry Virus noch nicht ausgeschaltet oder neugestartet worden sein.

Wer sich die Ransomware „WannaCry“ auf einem Windowx XP oder Windows 7 Rechner eingefangen hat, kann vielleicht aufatmen: Durch einen Fehler bei der Speicherverwaltung der älteren Windows-Versionen lassen sich unter Umständen die Werte wiederherstellen, mit denen der Virus die Daten auf dem PC verschlüsselt hat: Klappt das, sollen sich die Daten auch ohne Lösegeld-Zahlung wieder herstellen lassen. Wichtig ist aber, dass der Rechner nach der Infizierung mit dem WannaCry / WannaCrypt Virus noch nicht ausgeschaltet oder neugestartet wurde: Nur dann soll sich der Schlüssel aus dem RAM wiederherstellen lassen – damit hilft das Tool in den meisten Fällen vermutlich nur bei Neu-Infektionen, ist aber auf jeden Fall einen Versuch wert.

Zum Retten der Daten gibt es mittlerweile zwei Programme: Das Tool „WannaKey“ wurde Adrien Guinet von Quarkslab entwickelt und läuft auch nur unter Windows XP. Auf der gleichen Idee zum Entschlüsseln basiert „WannaKiwi“, das neben XP auch unter Windows 7 die Daten retten konnte – allerding nur, wenn der Rechner nach der Infektion mit dem WannaCry / WannaCrypt Virus noch nicht neugestartet oder ausgeschaltet wurde. Zum Herunterladen von „WannaKey“ für Windows XP öffnet man die GitHub Seite des Projektes und klickt rechts auf „Clone or Download“ » „Download ZIP“. In dem ZIP-Archiv befindet sich im Ordner „bin“ dann die ausführbare Datei, die die Primzahlen suchen soll, mit denen der Schlüsselcode des Trojaners die Dateien des Rechners gesperrt hat.

 
So geht’s: WannaKey starten und Daten retten

Zum Starten reicht aber leider nicht ein einfacher Doppelklick auf das Programm-Icon: Zunächst braucht man die Prozess-Idee des Trojaners „wcry.exe“. Dazu startet man den Windows-Taskmanager mit einem Rechtsklick auf eine leere Fläche der Taskbar unten und wählt ihn dann im Menü aus. In der Standardeinstellung wird die Prozess-ID (PID) aber nicht angezeigt, so dass man sie eventuell erst unter „Ansicht“ » „Spalten auswählen“ aktivieren muss:

Hat man die Prozess-ID (PID) des Trojaners (wcry.exe) gefunden, muss man mit der Windows-Suche noch den Ort der Datei „00000000.pky“ finden. Erst dann kann man die Windows Eingabeaufforderung öffnen und zum Ordner des WannaKey Tools wechseln (am besten legt man sich die Datei „search-primes.exe“ dafür auf den Desktop). Mit diesem Befehl startet man schließlich das Tool:

search_primes.exe PID Pfad\zur\Datei\00000000.pky

WanaKiwi rettet Daten unter Windows XP und Windows 7!

Das neuere Programm WanaKiwi des Franzosen Benjamin Delpy nutzt die gleiche Idee zum Retten der Daten wie auch schon WannaKey von Adrien Guinet, sucht aber selbstständig nach der Datei „00000000.pky“. Außerdem funktioniert es mittlerweile unter Windows XP und Windows 7. Auch hier werden die Primzahlen im Hauptspeicher gesucht, um den Schlüssel des Trojaners zu knacken und die Daten wiederherstellen zu können – daher darf der Rechner ebenfalls noch nicht neugestartet worden sein.

Das Tool funktioniert nämlich nur, weil Windows XP und anscheinend auch Windows 7 anders als das aktuelle Windows 10 die für den RSA Schlüssel von dem Virus generierten Primzahlen nicht ordentlich aus dem Hauptpeicher löschen und das Programm versucht, dieso so zu rekonstruieren. Startet man den PC aber in der Zwischenzeit neu, wird der Hauptspeicher geleert und das Programm funktioniert nicht mehr.

 
WannaCry Virus infizierte 200.000 Windows-PCs

Der WannaCry Virus hatte Ende letzter Woche begonnen, zahlreiche PCs weltweit zu infizieren: Experten gehen mittlerweile von über 200.000 infizierten Rechnern aus, die von dem Virus befallen wurden. Der Virus nutzt eine Sicherheitslücke von Windows, die ursprünglich von dem amerikanischen Außengeheimdienst NSA missbraucht wurde und von Hackern Anfang des Jahres publik gemacht wurde. Microsoft stellte daraufhin ein Update zur Verfügung, dass zunächst aber nur für die aktuell noch unterstützten Windows-Versionen erschien – Nutzer von Windows XP oder Vista waren dem Virus schutzlos ausgeliefert.

Neben vielen Privat-PCs wurden aber auch große Firmen und Institutionen infiziert: In Deutschland fielen teilweise PCs der Deutschen Bahn aus, die für die Anzeigetafeln an den Bahnhöfen zuständig waren. In England konnten einige Krankenhäuser nicht mehr normal arbeiten, da einige PCs nicht mehr funktionierten. Der Virus versucht sich nämlich selbstständig im Netzwerk weiterzuverbreiten, sobald er einen Computer darin infizieren konnte.