![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Gute und schlechte Nachrichten f\u00fcr Besitzer von Systemen, die von Wannacrypt befallen sind. Es gibt einen Decryptor f\u00fcr Dokumentdateien, die von WannyCrypt verschl\u00fcsselt wurden \u2013 und das Tool ist frei \u2013 hat aber ein paar Haken und \u00d6sen. Erg\u00e4nzung: Es gibt auch eine L\u00f6sung f\u00fcr Windows 7.<\/p>\n
<\/p>\n
Es gibt halbwegs gute Nachrichten f\u00fcr Windows XP-Besitzer, die sich den Verschl\u00fcsselungstrojaner WannaCry (aka WannaCrptor) eingefangen haben. Ein Sicherheitsforscher hat einen Weg gefunden, die Encryption-Schl\u00fcssel auf Systemen zu ermitteln, die von WannaCry befallen sind \u2013 die Dateien lassen sich also wieder entschl\u00fcsseln \u2013 und das Tool ist zudem gratis.<\/p>\n
Ich hatte aber eingangs erw\u00e4hnt, dass die L\u00f6sung Haken und \u00d6sen besitzt. Die erste schlechte Nachricht ist, dass die L\u00f6sung nur unter Windows XP, nicht aber unter Windows 7 und h\u00f6her funktioniert. Wer also eine Maschine mit Windows 7 hat, deren Dateien verschl\u00fcsselt wurden, schaut (momentan) in die R\u00f6hre.<\/p>\n
Und es gibt einen weiteren Haken: Die Entschl\u00fcsselung durch das Tool klappt nur, wenn das Windows XP-System nach dem Befall durch WannyCrypt noch nicht neu gestartet wurde.<\/p>\n
Das Tool mit dem Namen WCry <\/em>wurde von Adrien Guinet, einem Sicherheitsforscher des franz\u00f6sischen Quarkslab entwickelt und kostenfrei auf GitHub bereitgestellt<\/a>. Das Tool versucht die Primzahl des privaten RSA-Schl\u00fcssel, der von Wanacry zum Verschl\u00fcsseln der Dateien benutzt wurde, zu ermitteln.<\/p>\n Dazu durchsucht das Tool den Speicherbereich des Prozesses wcry.exe <\/em>(des Trojaners). Dies ist der Prozess des Trojaners, der den privaten RSA-Key erzeugt. Dies ist m\u00f6glich, weil CryptDestroyKey<\/em> und CryptReleaseContext<\/em> den Speicher nicht l\u00f6schen, bevor sie diese freigeben. Damit kann Tool auf die Suche gehen \u2013 aber nur so lange die Windows XP-Maschine noch nicht neu gebootet wurde.<\/p>\n H\u00f6chst spannend fand ich die Erl\u00e4uterungen von Adrien Guinet. Er schreibt, dass das 'vergessene' L\u00f6schen der dem Prozess zugewiesenen Speicherbereich kein Fehler der Ransomware-Autoren war. Diese verwenden die Windows Crypto API korrekt. Aber man staunt, was Duinet herausgefunden hat.<\/p>\n Guinet verweist auf MSDN, wo f\u00fcr diese Funktion folgendes ausgef\u00fchrt wird: \"After this function is called, the released CSP handle is no longer valid. This function does not destroy key containers or key pairs.\"<\/em>. Es gibt also scheinbar unter Windows keine plattform\u00fcbergreifende M\u00f6glichkeit, diese Speicherbereiche zu l\u00f6schen (Gl\u00fcck f\u00fcr die Suche nach der Primzahl zur Berechnung des privaten RSA-Keys).<\/p>\n Fall man also den gl\u00fccklichen Fall hat, dass Windows XP befallen, aber noch nicht neu gebootet wurde, k\u00f6nnte die Primzahl noch im Speicher stecken. Dann man das im GitHub-Ordner \\bin<\/em> enthaltene Tool search_primes.exe<\/em> einsetzen, um die Primzahl zu sichern.<\/p>\n 1. Im ersten Schritt muss man die PID des Prozesses wcry.exe<\/em> \u00fcber den Windows XP-Taskmanager ermitteln.<\/p>\n 2. Dann sucht man den Pfad zur Datei 3. Dann \u00f6ffnet man eine Eingabeaufforderung \u00fcber den Befehl cmd.exe \u2013 <\/em>sollte unter einem Administratorkonto erfolgen, um nicht an fehlenden Berechtigungen zu scheitern.<\/p>\n 4. Dann stellt man sicher, dass man (ggf. \u00fcber cd <\/em>zum Ordner mit dem Tool gewechselt ist) und gibt folgenden Befehl in der Eingabeaufforderung ein:<\/p>\n search_primes.exe PID path\\to\\00000000.pky <\/em><\/p>\n Der Platzhalter path\\to\\<\/em> ist der Pfad zur .pky<\/em>-Datei. Wird eine g\u00fcltige Primzahl im Speicher des Prozesses mit der angegebenen PID gefunden, generiert das Programm search_primes.exe <\/em>die Datei priv.key im aktuellen Verzeichnis.<\/p>\n Hat dies soweit geklappt, holt man sich das Tool wanafork.exe <\/em>von der Webseite . Mit dem Tool und der Datei priv.key<\/em> lassen sich die verschl\u00fcsselten Dateien wieder entschl\u00fcsseln. Dummerweise l\u00e4uft dieses Tool aktuell (noch) noch nicht unter Windows XP – man muss also die verschl\u00fcsselten Dateien und den privaten Key auf eine andere Maschine kopieren. Hinweise zur Vorgehensweise finden sich in der Readme auf der verlinkten GitHub-Seite.<\/p>\n \u00dcbrigens: Der Ratschlag der Experten und von mir war, nicht an die Erpresser zu zahlen. Es gibt Berichte, dass die Leute die Schl\u00fcssel nicht bekommen haben, nachdem die 300 Euro in Bitcoins bezahlt wurden. In diesem Blog-Kommentar<\/a> schreibt allerdings ein Benutzer, dass er den privaten Schl\u00fcssel bekommen habe. (via<\/a>)<\/p><\/blockquote>\n Eine unter den gleichen Pr\u00e4missen arbeitende L\u00f6sung f\u00fcr Windows 7 wurde ebenfalls entwickelt. Ich habe diese im Blog-Beitrag\u00a0WannaCry: Decrypting mit WanaKiwi auch f\u00fcr Windows 7 <\/a>\u00a0beschrieben.<\/p>\n \u00c4hnliche Artikel: Gute und schlechte Nachrichten f\u00fcr Besitzer von Systemen, die von Wannacrypt befallen sind. Es gibt einen Decryptor f\u00fcr Dokumentdateien, die von WannyCrypt verschl\u00fcsselt wurden \u2013 und das Tool ist frei \u2013 hat aber ein paar Haken und \u00d6sen. Erg\u00e4nzung: Es … Weiterlesen \n
Primzahl finden, privaten Key ermitteln<\/h2>\n
00000000.pky<\/em><\/code> auf dem Windows-Laufwerk (die Datei wird von WannaCry angelegt).<\/p>\nDateien entschl\u00fcsseln<\/h2>\n
\n<\/strong>Ransomware WannaCry bef\u00e4llt tausende Computer weltweit<\/a>
\nWannaCrypt-Zwischenruf: Wir m\u00fcssen reden \u2026<\/a>
\nWannaCrypt: Updates f\u00fcr Windows XP, Server 2003 & Co.<\/a>
\nWannaCry: Neue Versionen und mehr Neuigkeiten<\/a>
\nAuch Geldautomaten sollen mit Windows 10 laufen \u2026<\/a>
\nWannaCry: Die Lage am Montag<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"