Ereignisse

Fehler in WannaCry ermöglichen Wiederherstellung der Dateien nach Infektion

Manchmal unterlaufen den Entwicklern von Ransomware Fehler bei der Programmierung des Codes. Diese Fehler können den Opfern unter Umständen helfen, nach einer Infektion mit Erpressersoftware wieder Zugriff auf ihre Originaldateien zu erhalten. Dieser Artikel liefert eine Kurzbeschreibung verschiedener Fehler, die den Entwicklern der Erpressersoftware WannaCry unterlaufen sind.

Fehler in der Datei-Löschlogik

Wenn Wannacry die Dateien des Opfers verschlüsselt, liest die Schadsoftware den Inhalt aus der Originaldatei, verschlüsselt ihn und speichert ihn in einer Datei mit der Erweiterung „.WNCRYT“. Nach der Verschlüsselung verschiebt die Ransomware .WNCRYT“ in „.WNCRY“ und löscht die Originaldatei. Diese Entfernungslogik kann in Abhängigkeit vom Speicherort und von den Eigenschaften der Dateien des Opfers variieren.

Die Dateien befinden sich auf dem Systemlaufwerk

  • Wenn sich die Datei in einem „wichtigen“ Ordner befindet (aus Sicht eines Malwareentwicklers sind das beispielsweise Desktop und Dokumente), dann wird die Originaldatei mit willkürlichen Daten überschrieben, bevor sie gelöscht wird. In diesem Fall gibt es leider keine Möglichkeit den Originalinhalt der Datei wiederherzustellen.
  • Fehler in WannaCry ermöglichen Wiederherstellung der Dateien nach Infektion

  • Ist die Datei außerhalb eines „wichtigen“ Ordners gespeichert, dann wird die Originaldatei in %TEMP%\%d.WNCRYT verschoben (wobei %d einen numerischen Wert bezeichnet). Diese Dateien enthalten die Originaldaten und sind nicht überschrieben, sie werden einfach von der Festplatte gelöscht, und das bedeutet, dass die Chancen gut stehen, die Daten mit Hilfe einer Datenrettungssoftware wiederherzustellen.

Fehler in WannaCry ermöglichen Wiederherstellung der Dateien nach Infektion

Umbenannte Originaldateien, die aus %TEMP% wiederhergestellt werden können

Die Dateien befinden sich auf anderen (nicht-System-) Laufwerken:

  • Die Ransomware erstellt den Ordner „$RECYCLE“ und stellt die Attribute ‚verborgen‘ und ‚System‘ für diesen Ordner ein. Dadurch wird der Ordner im Windows-Dateiexplorer unsichtbar, wenn dieser standardmäßig konfiguriert ist. Die Malware beabsichtigt, die Originaldateien nach der Verschlüsselung in dieses Verzeichnis zu verschieben.
  • Fehler in WannaCry ermöglichen Wiederherstellung der Dateien nach Infektion

    Die Prozedur, die das temporäre Verzeichnis dazu veranlasst, die Originaldateien vor dem Löschen zu speichern

  • Doch aufgrund von Synchronisationsfehlern im Code der Ransomware verbleiben die Originaldateien in vielen Fällen in demselben Verzeichnis und werden nicht nach $RECYCLE verschoben.
  • Die Originaldateien werden auf nicht sichere Weise gelöscht. Dadurch wird es möglich, die gelöschten Dateien mit Hilfe eines Datenrettungsprogramms wiederherzustellen.

Fehler in WannaCry ermöglichen Wiederherstellung der Dateien nach Infektion

Originaldateien, die von einem Nicht-Systemlaufwerk wiederhergestellt werden können

Fehler in WannaCry ermöglichen Wiederherstellung der Dateien nach Infektion

Die Prozedur, die den temporären Pfad für eine Originaldatei erstellt

Fehler in WannaCry ermöglichen Wiederherstellung der Dateien nach Infektion

Das Codestück, das die obenstehende Prozedur aufruft

Fehler bei der Verarbeitung von schreibgeschützten Dateien

Bei unserer Analyse von WannaCry haben wir auch herausgefunden, dass diese Erpressersoftware einen Bug in der Verarbeitung von schreibgeschützten Dateien enthält. Gibt es solche Dateien auf einem infizierten Rechner, so wird sie überhaupt nicht von der Ransomware verschlüsselt. Das Schadprogramm erstellt lediglich eine verschlüsselte Kopie jeder Originaldatei, während die Originaldateien selbst nur das Attribut ‚verborgen‘ erhalten. In diesem Fall ist es einfach, sie zu finden und ihre normalen Attribute wiederherzustellen.

Fehler in WannaCry ermöglichen Wiederherstellung der Dateien nach Infektion

Originale schreibgeschützte Dateien werden nicht verschlüsselt und bleiben am selben Platz

Fazit

Unsere Tiefenanalyse dieser Erpressersoftware hat ergeben, dass die Malware-Entwickler viele Fehler gemacht haben und dass die Qualität des Codes – wie wir aufgezeigt haben – sehr gering ist.

Wenn Ihr Rechner mit der WannaCry-Ransomware infiziert ist, so ist die Wahrscheinlichkeit recht hoch, dass Sie viele Dateien auf dem betroffenen Computer wiederherstellen können. Um die Dateien zu retten, können sie kostenlose Datenwiederherstellungssoftware verwenden. Wir empfehlen Organisationen und Unternehmen diesen Artikel an ihre Systemadministratoren weiterzuleiten, damit diese Datenrettungsprogramme auf den betroffenen Maschinen in ihrem Netzwerk anwenden können.

Fehler in WannaCry ermöglichen Wiederherstellung der Dateien nach Infektion

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach