Fehler in WannaCry ermöglichen Wiederherstellung der Dateien nach Infektion

Inhalt

Manchmal unterlaufen den Entwicklern von Ransomware Fehler bei der Programmierung des Codes. Diese Fehler können den Opfern unter Umständen helfen, nach einer Infektion mit Erpressersoftware wieder Zugriff auf ihre Originaldateien zu erhalten. Dieser Artikel liefert eine Kurzbeschreibung verschiedener Fehler, die den Entwicklern der Erpressersoftware WannaCry unterlaufen sind.

Fehler in der Datei-Löschlogik

Wenn Wannacry die Dateien des Opfers verschlüsselt, liest die Schadsoftware den Inhalt aus der Originaldatei, verschlüsselt ihn und speichert ihn in einer Datei mit der Erweiterung „.WNCRYT“. Nach der Verschlüsselung verschiebt die Ransomware .WNCRYT“ in „.WNCRY“ und löscht die Originaldatei. Diese Entfernungslogik kann in Abhängigkeit vom Speicherort und von den Eigenschaften der Dateien des Opfers variieren.

Die Dateien befinden sich auf dem Systemlaufwerk

  • Wenn sich die Datei in einem „wichtigen“ Ordner befindet (aus Sicht eines Malwareentwicklers sind das beispielsweise Desktop und Dokumente), dann wird die Originaldatei mit willkürlichen Daten überschrieben, bevor sie gelöscht wird. In diesem Fall gibt es leider keine Möglichkeit den Originalinhalt der Datei wiederherzustellen.
  • Fehler in WannaCry ermöglichen Wiederherstellung der Dateien nach Infektion

  • Ist die Datei außerhalb eines „wichtigen“ Ordners gespeichert, dann wird die Originaldatei in %TEMP%\%d.WNCRYT verschoben (wobei %d einen numerischen Wert bezeichnet). Diese Dateien enthalten die Originaldaten und sind nicht überschrieben, sie werden einfach von der Festplatte gelöscht, und das bedeutet, dass die Chancen gut stehen, die Daten mit Hilfe einer Datenrettungssoftware wiederherzustellen.

Fehler in WannaCry ermöglichen Wiederherstellung der Dateien nach Infektion

Umbenannte Originaldateien, die aus %TEMP% wiederhergestellt werden können

Die Dateien befinden sich auf anderen (nicht-System-) Laufwerken:

  • Die Ransomware erstellt den Ordner „$RECYCLE“ und stellt die Attribute ‚verborgen‘ und ‚System‘ für diesen Ordner ein. Dadurch wird der Ordner im Windows-Dateiexplorer unsichtbar, wenn dieser standardmäßig konfiguriert ist. Die Malware beabsichtigt, die Originaldateien nach der Verschlüsselung in dieses Verzeichnis zu verschieben.
  • Fehler in WannaCry ermöglichen Wiederherstellung der Dateien nach Infektion

    Die Prozedur, die das temporäre Verzeichnis dazu veranlasst, die Originaldateien vor dem Löschen zu speichern

  • Doch aufgrund von Synchronisationsfehlern im Code der Ransomware verbleiben die Originaldateien in vielen Fällen in demselben Verzeichnis und werden nicht nach $RECYCLE verschoben.
  • Die Originaldateien werden auf nicht sichere Weise gelöscht. Dadurch wird es möglich, die gelöschten Dateien mit Hilfe eines Datenrettungsprogramms wiederherzustellen.

Fehler in WannaCry ermöglichen Wiederherstellung der Dateien nach Infektion

Originaldateien, die von einem Nicht-Systemlaufwerk wiederhergestellt werden können

Fehler in WannaCry ermöglichen Wiederherstellung der Dateien nach Infektion

Die Prozedur, die den temporären Pfad für eine Originaldatei erstellt

Fehler in WannaCry ermöglichen Wiederherstellung der Dateien nach Infektion

Das Codestück, das die obenstehende Prozedur aufruft

Fehler bei der Verarbeitung von schreibgeschützten Dateien

Bei unserer Analyse von WannaCry haben wir auch herausgefunden, dass diese Erpressersoftware einen Bug in der Verarbeitung von schreibgeschützten Dateien enthält. Gibt es solche Dateien auf einem infizierten Rechner, so wird sie überhaupt nicht von der Ransomware verschlüsselt. Das Schadprogramm erstellt lediglich eine verschlüsselte Kopie jeder Originaldatei, während die Originaldateien selbst nur das Attribut ‚verborgen‘ erhalten. In diesem Fall ist es einfach, sie zu finden und ihre normalen Attribute wiederherzustellen.

Fehler in WannaCry ermöglichen Wiederherstellung der Dateien nach Infektion

Originale schreibgeschützte Dateien werden nicht verschlüsselt und bleiben am selben Platz

Fazit

Unsere Tiefenanalyse dieser Erpressersoftware hat ergeben, dass die Malware-Entwickler viele Fehler gemacht haben und dass die Qualität des Codes – wie wir aufgezeigt haben – sehr gering ist.

Wenn Ihr Rechner mit der WannaCry-Ransomware infiziert ist, so ist die Wahrscheinlichkeit recht hoch, dass Sie viele Dateien auf dem betroffenen Computer wiederherstellen können. Um die Dateien zu retten, können sie kostenlose Datenwiederherstellungssoftware verwenden. Wir empfehlen Organisationen und Unternehmen diesen Artikel an ihre Systemadministratoren weiterzuleiten, damit diese Datenrettungsprogramme auf den betroffenen Maschinen in ihrem Netzwerk anwenden können.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.