WannaCry: Decrypting mit WanaKiwi auch für Windows 7

Publiziert am 19. Mai 2017 von Günter Born

Nun auch gute Nachrichten für Besitzer von Window 7-Systemen, die von WannaCrypt befallen sind. Es gibt einen Decryptor für verschlüsselte Dateien, welches unter verschiedenen Windows-Varianten funktioniert.

Anzeige

Ich hatte ja die Nacht im Blog-Beitrag Wannycry: WCry-Decryptor für Windows XP über eine Lösung berichtet. Genialer Ansatz des Sicherheitsspezialisten, die zur Berechnung des privaten RSA-Keys verwendete Primzahl im Speicher zu suchen und dann den Key selbst nochmals zu berechnen.

WanaKiwi klappt auch unter Windows 7

Matt Suiche, Hacker, Sicherheitsspezialist und MVP-Kollege hat sich des Themas im Blog-Beitrag WannaCry — Decrypting files with WanaKiwi + Demos angenommen. Er setzt auf dem Ansatz des Tools wannakey von Adrien Guinet auf, das die Primzahl aus dem Speicher zurückliest. Genau, wie im obigen Artikel ist es auch hier erforderlich, dass der Einsatz der Tools sofort erfolgt, weil:

  • der zur Ermittlung der benötigten Daten erforderliche Arbeitsspeicher nach seiner Freigabe irgendwann überschrieben wird,
  • und ein Neustart von Windows den Speicher komplett löscht – dann ist alles verloren und die Entschlüsselung ist ohne Key der Erpresser (noch) nicht möglich.

Während wannakey nur unter Windows XP läuft, kann wanakiwi die Primzahlen auch unter Windows 7 aus dem Speicher zurücklesen (solange diese nicht überschrieben oder gelöscht wurden). Denn auch Windows 7 löscht nicht automatisch den frei werdenden Speicher (ist also analog zu Windows XP).

So soll es funktionieren

Um ein von WannaCrypt frisch verschlüsseltes Windows-System zu retten, sind folgende Schritte erforderlich.

1. Zuerst ist wanakiwi auf der infizierten Maschine von der verlinkten Webseite in einen lokalen Ordner herunterzuladen.

2. Dann reicht es, die Datei wanakiwi.exe per Doppelklick zu starten und abzuwarten.

Anzeige

Das Tool sucht automatisch die Datei 00000000.pky (dürfte für viele Nutzer eine erhebliche Vereinfachung sein. Dann sucht das Tool nach der Primzahl und, sofern es sie findet, ermittelt es den benötigten privaten RSA-Schlüssel. Wanakiwi soll zudem die .dky Dateien erzeugen, die von den Erpressern erwartet werden. Damit ist WanaKiwi kompatibel mit der Ransomware. Ist die Datei vorhanden, verhindert dies, dass WannaCry weitere Dateien verschlüsselt.

Laut den Hinweisen in diesem Blog-Beitrag wurde wanakiwi unter Windows XP (x86), Windows 7 (x86), Windows 2003 (x86) erfolgreich getestet, soll aber auch unter Windows Vista und Windows Server 2008/R2 funktionieren. Vielleicht hilft es dem einen oder anderen Betroffenen, wo die Infektion noch frisch ist. Aktuell tickt die Uhr, da WannaCry ja vorgibt, nach einigen Tagen die Option zur Entschlüsselung der Dateien unwiederbringlich zu sperren. (via)

Ähnliche Artikel:
Ransomware WannaCry befällt tausende Computer weltweit
WannaCrypt-Zwischenruf: Wir müssen reden …
WannaCrypt: Updates für Windows XP, Server 2003 & Co.
WannaCry: Neue Versionen und mehr Neuigkeiten
Auch Geldautomaten sollen mit Windows 10 laufen …
WannaCry: Die Lage am Montag
Wannycry: WCry-Decryptor für Windows XP

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Problemlösung, Sicherheit, Windows 7 abgelegt und mit , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu WannaCry: Decrypting mit WanaKiwi auch für Windows 7

  1. Ingenieurs sagt:
    19. Mai 2017 um 15:17 Uhr

    Mich würde interessieren ob das ganze auch unter Vista läuft.
    Denn Windows 7 basiert ja zu 99,9 % auf Vista

    Antworten

Schreibe einen Kommentar zu Ingenieurs Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.