Den Trojaner „WannaCry“ erwischt? – Rechner nicht neu starten!

Den Rat, den Rechner nicht auszuschalten, sollten derzeit vor allem die Nutzer des veralteten Betriebssystems Windows XP berücksichtigen, wenn sie sich den Erpressungs-Trojaner „WannaCry“ eingehandelt haben. Adrien Guinet, der für das IT-Security-Unternehmen Quarkslab arbeitet, hat ein Programm entwickelt, mit dem sich die Daten auf dem Rechner wiederherstellen lassen. Das Rettungsprogramm trägt den Namen „Wannakey“ und kann auf der Plattform github.com heruntergeladen werden. Dort findet sich auch eine genaue Anleitung zur Anwendung.

Wie funktioniert „Wannakey“?

Adrien Giunet hat festgestellt, dass es in der Programmierung von „WannaCry“ einen Fehler gibt, der allerdings derzeit nur in der Kombination mit dem Betriebssystem Windows XP zur Rettung der Daten ausgenutzt werden kann. Der Trojaner arbeitet bei der Verschlüsselung mit einer Primzahl, aus der dann der verwendete Schlüssel abgeleitet wird. Bei Windows XP wurde festgestellt, dass genau dieser Schlüssel durch die Art der Speicherverwaltung des Betriebssystems rekonstruiert werden kann. Er wird allerdings im temporären Speicher abgelegt. Diese Inhalte werden gelöscht, sobald der Rechner neu gestartet wird. Genau daraus leitet es sich ab, dass die XP-Rechner nicht ausgeschaltet werden dürfen, wenn sich „WannaCry“ eingenistet hat.

Eine Garantie, dass das Rettungstool „WannaKey“ auch wirklich auf jedem XP-Rechner funktioniert, gibt es allerdings nicht. Wer seine XP-Daten retten will, muss das Rettungstool möglichst schnell anwenden. Die Urheber haben den Trojaner so programmiert, dass die verschlüsselten Daten wenige Tage nach der Aktivierung vollständig gelöscht werden. Die Nutzer von neueren Systemen sollten auf eine Lösung dieser Art nicht hoffen.

“WannaCry“ breitet sich rasant aus

Inzwischen sind mehrere Hunderttausend Systeme in über 150 Ländern von dem Trojaner infiziert worden. Von den Betroffenen wird ein durchschnittliches Lösegeld von 300 Dollar gefordert. Wer seinen Rechner schützen möchte, sollte so schnell wie möglich den von Microsoft bereitgestellten Patch installieren. Diesen gibt es ausnahmsweise einmal nicht nur für die Versionen des Betriebssystems Windows, die noch aktiv gepflegt werden. Microsoft stellt den Patch auch für Windows XP und Windows Vista zur Verfügung.

Quelle: github.com