virus 1891191 1920

WannaCry Ransomware entfernen – .wncry-Dateien entschlüsseln

WannaCry (auch bekannt als WannaCrypt, WanaCrypt0r 2.0 oder Wanna Decryptor) ist eine Ransomware, die im Mai 2017 einen weltweiten Cyberangriff verursachte. Die Schadsoftware verschlüsselte Dateien auf infizierten Windows-Computern und fügte die Endung .wncry hinzu. Innerhalb weniger Tage infizierte WannaCry über 300.000 Computer in mehr als 150 Ländern. Der Angriff verursachte Schäden in Milliardenhöhe und legte kritische Infrastrukturen wie Krankenhäuser lahm. Die Entfernung der Malware ist möglich, die Entschlüsselung jedoch nur unter bestimmten Bedingungen.

Die Geschichte des größten Ransomware-Angriffs

WannaCry startete am 12. Mai 2017 um 07:44 Uhr UTC. Der Angriff breitete sich rasend schnell aus. Laut Wikipedia war es einer der schwersten Cyberangriffe der Geschichte.

Der Ursprung: NSA-Werkzeuge werden gestohlen

Die Geschichte beginnt bei der US-amerikanischen NSA (National Security Agency). Diese Behörde hatte eine Sicherheitslücke in Windows entdeckt. Statt Microsoft zu informieren, entwickelte die NSA ein Angriffswerkzeug namens EternalBlue.

Im April 2017 passierte das Unerwartete: Eine Hackergruppe namens The Shadow Brokers veröffentlichte gestohlene NSA-Werkzeuge. EternalBlue war dabei. Einen Monat später nutzten Kriminelle dieses Werkzeug für WannaCry.

Der Ablauf des Angriffs

DatumEreignis
14. März 2017Microsoft veröffentlicht Patch MS17-010
14. April 2017Shadow Brokers leakt EternalBlue
12. Mai 2017WannaCry-Angriff beginnt
12. Mai 2017Marcus Hutchins entdeckt Kill-Switch
13. Mai 2017Microsoft veröffentlicht Notfall-Patches

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stufte WannaCry als kritische Bedrohung ein.

So funktioniert WannaCry technisch

WannaCry ist keine gewöhnliche Ransomware. Es ist ein Kryptowurm. Das bedeutet: Die Software verbreitet sich selbstständig über Netzwerke.

Die technischen Komponenten

WannaCry besteht aus mehreren Teilen:

  1. Dropper: Das Hauptprogramm, das die Infektion startet
  2. EternalBlue-Exploit: Nutzt die SMB-Sicherheitslücke aus
  3. DoublePulsar-Backdoor: Ermöglicht die Installation
  4. Verschlüsselungsmodul: Verschlüsselt die Dateien
  5. Tor-Client: Kommunikation mit den Angreifern

Die SMB-Sicherheitslücke

SMB (Server Message Block) ist ein Windows-Protokoll. Es ermöglicht das Teilen von Dateien im Netzwerk. Die Sicherheitslücke CVE-2017-0144 erlaubte es Angreifern, Code aus der Ferne auszuführen.

Betroffene Windows-Versionen:

  • Windows XP
  • Windows Vista
  • Windows 7
  • Windows 8/8.1
  • Windows Server 2003, 2008, 2012

Windows 10 hatte einen eingebauten Schutz. Nutzer von Windows 10 waren daher weniger betroffen.

Der Verschlüsselungsprozess

WannaCry nutzt eine hybride Verschlüsselung:

  1. Für jede Datei wird ein zufälliger AES-128-Schlüssel erzeugt
  2. Die Datei wird mit diesem AES-Schlüssel verschlüsselt
  3. Der AES-Schlüssel wird mit RSA-2048 verschlüsselt
  4. Nur die Angreifer haben den privaten RSA-Schlüssel

Nach der Verschlüsselung erhalten Dateien verschiedene Endungen:

  • .wncry
  • .wcry
  • .wncryt
  • .wncrypt

Woran erkennt man eine WannaCry-Infektion?

Die Symptome einer WannaCry-Infektion sind eindeutig.

Sichtbare Anzeichen

  • Dateien haben plötzlich die Endung .wncry
  • Ein rotes Fenster erscheint mit der Lösegeldforderung
  • Der Desktop-Hintergrund zeigt eine Warnung
  • Dateien in @WanaDecryptor@.exe werden erstellt
  • Die Datei @Please_Read_Me@.txt erscheint

Die Lösegeldforderung

Das Erpresserfenster zeigt:

  • Einen Countdown (3 Tage bis zur Verdopplung)
  • Die Forderung von 300 US-Dollar in Bitcoin
  • Nach 3 Tagen: 600 US-Dollar
  • Nach 7 Tagen: Drohung, alle Dateien zu löschen
  • Anweisungen zum Kauf von Bitcoin
  • Drei Bitcoin-Adressen für die Zahlung

Laut Fortinet wurde die Lösegeldforderung in 28 Sprachen verfasst. Die chinesische und englische Version waren vermutlich von Menschen geschrieben, der Rest maschinell übersetzt.

WannaCry vom Computer entfernen

Die Entfernung der Ransomware ist möglich. Aber: Die verschlüsselten Dateien bleiben zunächst verschlüsselt.

Schritt 1: Computer vom Netzwerk trennen

Sofort das Netzwerk trennen:

  • Netzwerkkabel ziehen
  • WLAN deaktivieren
  • Bluetooth ausschalten

WannaCry verbreitet sich über das Netzwerk. Ohne Trennung infiziert es weitere Computer.

Schritt 2: Im abgesicherten Modus starten

Der abgesicherte Modus verhindert, dass WannaCry startet.

Windows 7:

  1. Computer neu starten
  2. Während des Starts mehrfach F8 drücken
  3. Abgesicherter Modus mit Netzwerktreibern wählen

Windows 10/11:

  1. Einstellungen → System → Wiederherstellung
  2. Erweiterter Start → Jetzt neu starten
  3. Problembehandlung → Erweiterte Optionen
  4. Starteinstellungen → Neu starten
  5. Taste 5 oder F5 drücken

Schritt 3: Anti-Malware-Scan durchführen

Im abgesicherten Modus einen vollständigen Scan starten:

Empfohlene Programme:

  • Malwarebytes Anti-Malware
  • ESET Online Scanner
  • Kaspersky Virus Removal Tool
  • Microsoft Safety Scanner
  • HitmanPro

Die meisten Antivirenprogramme erkennen WannaCry mittlerweile zuverlässig.

Schritt 4: Manuelle Bereinigung

Nach dem Scan zusätzlich manuell prüfen:

Dateien löschen:

  • @WanaDecryptor@.exe
  • @Please_Read_Me@.txt
  • tasksche.exe
  • taskdl.exe
  • 00000000.eky (enthält verschlüsselten Schlüssel)
  • 00000000.pky (enthält öffentlichen Schlüssel)
  • 00000000.res (enthält Statusinformationen)

Registry-Einträge prüfen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Verdächtige Einträge dort entfernen.

Schritt 5: Windows-Patch installieren

Nach der Bereinigung unbedingt den Microsoft-Patch MS17-010 installieren:

  1. Windows Update öffnen
  2. Nach Updates suchen
  3. Alle verfügbaren Sicherheitsupdates installieren

Für alte Systeme (XP, Server 2003) hat Microsoft Notfall-Patches veröffentlicht.

Können .wncry-Dateien entschlüsselt werden?

Die wichtigste Frage für Betroffene. Die Antwort: Manchmal ja.

Die gute Nachricht: Es gibt Tools

Sicherheitsforscher haben Entschlüsselungstools entwickelt, die unter bestimmten Bedingungen funktionieren.

WannaKey (für Windows XP):

  • Entwickelt vom französischen Forscher Adrien Guinet
  • Funktioniert nur, wenn der Computer nicht neu gestartet wurde
  • Sucht nach den Primzahlen im Arbeitsspeicher

Wanakiwi (für Windows XP, 7, 2003, Vista, Server 2008):

  • Weiterentwicklung von WannaKey
  • Ebenfalls nur ohne Neustart wirksam
  • Verfügbar auf GitHub

Die Einschränkungen

Die Tools funktionieren nur, wenn:

  1. Der Computer nicht neu gestartet wurde
  2. Der WannaCry-Prozess noch läuft oder gerade beendet wurde
  3. Der Arbeitsspeicher nicht überschrieben wurde
  4. Windows die Primzahlen noch nicht aus dem RAM gelöscht hat

Laut TÜV Nord konnten viele Opfer ihre Daten nicht wiederherstellen.

So verwendet man Wanakiwi

Voraussetzungen:

  • Computer wurde seit der Infektion nicht neu gestartet
  • Windows XP, Vista, 7, Server 2003 oder 2008

Anleitung:

  1. Wanakiwi von GitHub herunterladen
  2. Auf einen USB-Stick kopieren
  3. Am infizierten Computer ausführen
  4. Das Tool sucht automatisch nach den Schlüsseln
  5. Bei Erfolg werden die Dateien entschlüsselt

Warnung: Nach einem Neustart ist die Entschlüsselung praktisch unmöglich.

Alternative Wege zur Datenrettung

Wenn Wanakiwi nicht funktioniert, gibt es noch andere Optionen.

Windows-Schattenkopien prüfen

Windows erstellt automatisch Schattenkopien (Shadow Copies). WannaCry versucht, diese zu löschen. Manchmal gelingt es nicht vollständig.

So prüft man es:

  1. Rechtsklick auf einen Ordner
  2. Eigenschaften wählen
  3. Tab Vorgängerversionen öffnen
  4. Falls Versionen vorhanden: Wiederherstellen

Mit ShadowExplorer:

  • Kostenloses Tool
  • Zeigt alle vorhandenen Schattenkopien
  • Ermöglicht das Exportieren alter Dateiversionen

Datenrettungssoftware nutzen

WannaCry löscht manchmal die Originaldateien nach der Verschlüsselung. Diese könnten wiederherstellbar sein.

Kostenlose Tools:

  • Recuva
  • PhotoRec
  • TestDisk
  • EaseUS Data Recovery Free

Die Tools suchen nach gelöschten Dateien auf der Festplatte.

Backups wiederherstellen

Die beste Option: Vorhandene Backups nutzen.

Mögliche Backup-Quellen:

  • Externe Festplatten
  • NAS-Systeme (wenn nicht infiziert)
  • Cloud-Dienste (OneDrive, Google Drive, Dropbox)
  • Systemwiederherstellungspunkte

Wer steckt hinter WannaCry?

Die Zuordnung dauerte Monate. Im Dezember 2017 machten die USA und Großbritannien Nordkorea offiziell verantwortlich.

Die Lazarus-Gruppe

Die Lazarus-Gruppe ist eine Hackergruppe, die mit Nordkorea in Verbindung gebracht wird. Sie war vermutlich auch für diese Angriffe verantwortlich:

  • Sony Pictures Hack (2014)
  • Bangladesch-Banküberfall (2016)
  • Verschiedene Kryptowährungs-Diebstähle

Sicherheitsforscher fanden Code-Überschneidungen zwischen WannaCry und früherer Lazarus-Malware.

Die Beweise

  • Sprachliche Analyse: Die chinesischen Texte waren von Muttersprachlern verfasst
  • Zeitzoneneinstellungen: Die Computer waren auf UTC+9 eingestellt (Nordkorea)
  • Code-Ähnlichkeiten mit bekannter Lazarus-Malware
  • NSA-Analyse bestätigte die Verbindung

Nordkorea bestreitet jede Beteiligung.

Die betroffenen Organisationen

WannaCry traf Organisationen weltweit. Einige prominente Beispiele:

Gesundheitswesen

Der britische NHS (National Health Service) war besonders betroffen:

  • 70.000 Geräte infiziert
  • MRT-Scanner und medizinische Geräte ausgefallen
  • Patienten mussten abgewiesen werden
  • Operationen wurden verschoben

Unternehmen

Laut GlobalSecurityMag waren unter anderem betroffen:

  • Deutsche Bahn (Anzeigetafeln und Automaten)
  • Telefónica (Spanischer Telekommunikationsanbieter)
  • Renault und Nissan (Produktionsstopps)
  • FedEx
  • PetroChina

Behörden und Institutionen

  • Russisches Innenministerium
  • Chinesische Polizeibehörden
  • Mehrere Universitäten weltweit
  • Krankenhäuser in Indonesien

Der Kill-Switch: Wie der Angriff gestoppt wurde

Ein 22-jähriger britischer Forscher stoppte den Angriff fast zufällig.

Marcus Hutchins wird zum Helden

Marcus Hutchins (bekannt als MalwareTech) analysierte WannaCry. Er entdeckte im Code eine seltsame Domain:

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Die Malware prüfte, ob diese Domain erreichbar war. Falls ja, stoppte sie sich selbst. Hutchins registrierte die Domain für etwa 10 Dollar. Sofort verlangsamte sich die globale Ausbreitung.

Warum der Kill-Switch existierte

Theorien:

  1. Analyse-Schutz: Sandboxen simulieren oft alle Domains als erreichbar
  2. Notbremse: Die Entwickler wollten einen Ausschalter
  3. Fehler: Ein Versehen der Programmierer

Der Kill-Switch verhinderte keine bereits verschlüsselten Dateien. Aber er stoppte neue Infektionen.

Schutzmaßnahmen für die Zukunft

Nach WannaCry änderten viele Organisationen ihre Sicherheitspraktiken.

Wichtige Schutzmaßnahmen

1. Regelmäßige Updates

  • Windows-Updates automatisch installieren
  • Alle Software aktuell halten
  • Auch Legacy-Systeme patchen (wenn möglich)

2. Backups nach der 3-2-1-Regel

  • 3 Kopien aller wichtigen Daten
  • 2 verschiedene Speichermedien
  • 1 Kopie extern (offline)

3. Netzwerk-Segmentierung

  • Kritische Systeme isolieren
  • SMB-Port 445 blockieren (wo möglich)
  • Firewalls richtig konfigurieren

4. Mitarbeiter-Schulung

  • Phishing erkennen
  • Verdächtige E-Mails melden
  • Sichere Passwörter verwenden

5. SMB deaktivieren (wenn nicht benötigt)

PowerShell-Befehl:
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Bezahlen oder nicht bezahlen?

Das BSI und alle Sicherheitsbehörden empfehlen: Nicht zahlen.

Gründe gegen die Zahlung

  1. Keine Garantie: Viele Opfer bekamen keinen Schlüssel
  2. Finanzierung von Kriminellen: Das Geld ermöglicht weitere Angriffe
  3. WannaCry-spezifisch: Die Entschlüsselung funktionierte oft nicht

Die Realität bei WannaCry

Bis Juni 2017 hatten etwa 330 Opfer gezahlt. Die Gesamtsumme: etwa 130.000 US-Dollar (ca. 51 Bitcoin). Bei über 300.000 Infektionen eine erstaunlich niedrige Zahl.

Viele Experten vermuten: Die Angreifer konnten technisch nicht unterscheiden, wer gezahlt hatte. Die Entschlüsselung war nicht automatisiert.

WannaCry heute: Ist die Bedrohung vorbei?

Nein. WannaCry existiert noch immer.

Aktuelle Situation

  • 2018: WannaCry infizierte TSMC (Chip-Hersteller)
  • Varianten ohne Kill-Switch sind im Umlauf
  • Ungepatchte Systeme bleiben gefährdet

Warum noch Systeme infiziert werden

  • Alte Hardware mit Windows XP
  • Industriesteuerungen und medizinische Geräte
  • Systeme ohne Internetzugang (kein Patch möglich)
  • Mangelndes Sicherheitsbewusstsein

Zusammenfassung: Was tun bei WannaCry?

Bei einer Infektion:

  1. Sofort Netzwerk trennen
  2. Computer nicht neu starten (wegen Wanakiwi)
  3. Wanakiwi oder WannaKey ausprobieren
  4. Falls erfolglos: im abgesicherten Modus Anti-Malware nutzen
  5. Schattenkopien und Datenrettungssoftware prüfen
  6. Nicht zahlen
  7. Anzeige erstatten
  8. Nach der Bereinigung: alle Patches installieren

Auch interessant

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Menü