Zwei Computersicherheitsexperten haben eine Software entwickelt, die es Benutzern teilweise ermöglicht, von der Ransomware betroffene Computer zu entschlüsseln
Es ist ein Wettlauf mit der Zeit. Computersicherheitsexperten aus der ganzen Welt arbeiten daran, die Urheber von WannaCry zu finden, der Infektion, die am 12. Mai begann und sich wie ein Lauffeuer in mehr als 150 Ländern ausgebreitet hat, und einen Weg zu finden, die betroffenen Computer zu entschlüsseln.
Nach WannaSmile, einem Programm, das den Server Message Block deaktiviert - ein Protokoll, das von Windows für die Kommunikation mit Druckern und die Freigabe von Dateien zwischen Computern verwendet wird - und verhindert, dass sich die Ransomware auf Geräte ausbreitet, kommt nun weitere Software. Das erste stammt von Telefónica, Spaniens führendem Telekommunikationsunternehmen, das ein Tool zur Wiederherstellung von durch Ransomware verschlüsselten Daten veröffentlicht hat. Es ist ein PowerShell-Skript, das dabei hilft, temporäre Dateien mit der Erweiterung WNCRYPT aufzuspüren. Das Programm funktioniert nur, wenn WannaCry die Festplatte des infizierten Rechners nicht vollständig verschlüsselt hat.
WannaKey
Ein weiteres Tool, das den Opfern die von dem schrecklichen Ransomware-Virus verschlüsselten Dateien zurückgeben kann, ist Wannakey, ein Programm, das von Adrien Guinet, einem Cybersecurity-Experten, entwickelt wurde. Der Forscher warnt jedoch, dass die von ihm entwickelte Software nur auf Computern mit Windows XP funktioniert. Mit Wannakey können Daten entsperrt werden, indem die in der Ransomware versteckten Entschlüsselungsschlüssel gefunden werden. Nach Angaben von Adrien Guinet erzeugt der Virus, wenn er auf einen Rechner trifft, Codes zur Verschlüsselung der Festplatten, die auf Primzahlen basieren. Wenn die Malware diese Nummern nicht aus dem Speicher des betroffenen Computers löscht, ist es möglich, die Dateien zu entschlüsseln, indem man sie wiederherstellt. Allerdings hat das Programm Einschränkungen: Es ist nur erfolgreich, wenn der angegriffene Computer nicht neu gestartet wurde.
In der Zwischenzeit hat Microsoft einen Update-Patch, MS17-010, veröffentlicht, der verhindert, dass die Ransomware Sicherheitslücken in Windows ausnutzt und sich weiter verbreitet.