Fehler in WannaCry kommen bei der Wiederherstellung der Dateien nach Infektion zugute

Manchmal unterlaufen den Entwicklern von Ransomware Fehler bei der Programmierung des Codes. Diese Fehler können den Opfern unter Umständen helfen, nach einer Infektion mit Erpressersoftware wieder Zugriff auf ihre Originaldateien zu erhalten.

Wenn Wannacry die Dateien des Opfers verschlüsselt, liest die Schadsoftware den Inhalt aus der Originaldatei, verschlüsselt ihn und speichert ihn in einer Datei mit der Erweiterung „.WNCRYT“. Nach der Verschlüsselung verschiebt die Ransomware .WNCRYT“ in „.WNCRY“ und löscht die Originaldatei. Diese Entfernungslogik kann in Abhängigkeit vom Speicherort und von den Eigenschaften der Dateien des Opfers variieren.

Sicherheitsexperten haben bei Ihrer Analyse von WannaCry herausgefunden, dass diese Erpressersoftware einen Bug in der Verarbeitung von schreibgeschützten Dateien enthält. Gibt es solche Dateien auf einem infizierten Rechner, so wird sie überhaupt nicht von der Ransomware verschlüsselt. Das Schadprogramm erstellt lediglich eine verschlüsselte Kopie jeder Originaldatei, während die Originaldateien selbst nur das Attribut ‚verborgen‘ erhalten. In diesem Fall ist es einfach, sie zu finden und ihre normalen Attribute wiederherzustellen.

Wenn Ihr Rechner mit der WannaCry-Ransomware infiziert ist, so ist die Wahrscheinlichkeit recht hoch, dass Sie viele Dateien auf dem betroffenen Computer wiederherstellen können. Um die Dateien zu retten, können sie kostenlose Datenwiederherstellungssoftware verwenden. Sicherheitsexperten empfehlen Organisationen und Unternehmen diesen Artikel an ihre Systemadministratoren weiterzuleiten, damit diese Datenrettungsprogramme auf den betroffenen Maschinen in ihrem Netzwerk anwenden können.

Quelle: hier

Einen Kommentar schreiben