WannaCry
Inhaltsverzeichnis
WannaCry
WannaCry ist ein sog. Verschlüsselungs-Trojaner (Ransomware), der sich als Wurm von befallenen Systemen aus über eine Sicherheitslücke in Windows Dateifreigaben (SMB) verbreitet. Die Sicherheitslücke wurde durch die Exploits namens EternalBlue und DoublePulsar möglich, die die Crackergruppe Shadow Brokers veröffentlicht hatten und die vermutlich aus dem Arsenal des amerikanischen Geheimdienstes NSA stammen.
Die Sicherheitslücke bzgl. der Dateifreigaben (SMB) wurde von Microsoft bereits im März 2017 geschlossen. Viele Systeme wurden dennoch von den Administatoren nicht aktualisiert, was zu der großen Ausbreitung der Infektion führte, denn wenn ein Rechner in einem lokalen Netz mit WannaCry infiziert ist, versucht er, andere Windows-Systeme im Netzwerk zu finden, die für EternalBlue anfällig sind. Anschließend wird mit DoublePulsar eine Backdoor installiert.
Mit KB4012598 bringt Microsoft einen Notfall-Patch gegen den Verschlüsselungstrojaner WannaCry für alle Windows-Systeme, auch für jene, die regulär nicht mehr gepatcht werden.
- Technische Details zu WannaCry hat Bleeping Computer in diesem Artikel zusammengefasst.
- Cyberschutzraum hat auf Youtube dieses WannaCry erklärende Video veröffentlicht.
WannaCry – warum zeitnahes Updaten so wichtig ist
Die Ransomware WannaCry hat Mitte Mai 2017 weltweit viele Personen und Unternehmen kalt erwischt. Experten vermuten, dass weltweit mehrere Zehntausend Computer betroffen sind. Schätzungen zu Folge sind Computer in über 100 Ländern betroffen. Europol spricht von einer Ransomware-Attacke beispiellosen Ausmaßes. Mikko Hyppönen von F-Secure bezeichnet dies sogar als den “größten Ransomware-Ausbruch in der Geschichte“. Der Erpressungstrojaner hat dabei Windows-Nutzer im Visier und nutzt eine Sicherheitslücke aus, die bereits im Februar bekannt wurde und von Microsoft mit dem März-Update geschlossen wurde.
Nach jetzigem Kenntnisstand sind nur Internetnutzer und Unternehmen betroffen, die es in den letzten acht Wochen versäumt haben, das entsprechende Update zu installieren – oder noch alte Windows-Versionen (z.B. XP, Vista) einsetzen, für die seit längerer Zeit keine weiteren Updates mehr bereitgestellt werden. Dass Microsoft sogar einen neuen Patch für Windows XP bereitstellt, lässt das Ausmaß der WannaCry-Infektionen nur erahnen.
Der Vorfall und die vielen Infektionen zeigen erneut auf, wie wichtig das regelmäßige und vor allem zeitnahe Einspielen von Sicherheitsupdates ist, jedoch auch, wie viele Nutzer noch unsichere Geräte einsetzen.
Peter Meyer, Leiter Botfrei.de: „Unternehmen sollte WannaCry als letzte Warnung dienen. Wer immer noch nicht verstanden hat, wie wichtig sichere IT-Systeme sind, der gefährdet seine unternehmerische Existenz.“
Internet-Nutzer, die bisher das Patch MS17-010 noch nicht installiert haben, sollten das umgehend nachholen.
Um sich vor ähnlichen Vorfällen in Zukunft besser zu schützen, sollte man die automatische Update-Funktion im Betriebssystem aktivieren, und zudem regelmäßig Backups anlegen. Diese helfen bei einer Ransomware-Infektion, das eigene System ohne gravierenden Datenverlust wiederherzustellen. Dabei sollten die Backup-Daten getrennt bzw. geschützt vom eigentlichen System gespeichert werden, da sich Erpressungstrojaner wie WannaCry auch auf weiteren Geräten im Netzwerk verbreiten und diese ebenfalls verschlüsseln. Neben Backups und Updates sollten Unternehmen zudem auf ein professionelles Sicherheitspaket setzen, aber auch weiterhin und regelmäßig die eigenen Mitarbeiter gegenüber solchen Bedrohungen sensibilisieren. Auch im Fall von WannaCry waren E-Mails mit schädlichem Anhang der Auslöser vieler Infektionen. |
Betroffene Unternehmen, Behörden und Institutionen sollten sich zudem an das BSI wenden und davon absehen, ein Lösegeld an die Erpresser zu zahlen, denn es ist aktuell nicht bekannt, dass das Zahlen des Lösegeld tatsächlich zur Entschlüsselung der eigenen Daten führt.
Nur durch einen Zufall wurde inzwischen die weitere Verbreitung von WannaCry-Infektionen gestoppt. Für eine Entwarnung ist es jedoch noch zu früh, da Cyberkriminelle ohne weiteres den Schadcode modifizieren könnten und so jederzeit eine neue Infektionswelle droht.
Update 16.05.2017: Laut BleepingComputer scheint es inzwischen eine neuere Version von WannaCry zu geben, die den durch Zufall vom MalwareHunterTeam entdeckten KillSwitch, durch welche die Verbreitung zunächst gestoppt werden konnte, nicht mehr enthält. Die Infektionswelle wird also weiter rollen.
Update 18.05.2017:
Machen Anti-Ransom-Programme Sinn?
Nach der Angriffswelle von WannaCry werden unsere Experten häufig gefragt, ob Anti-Ransom-Programme eine Infektion verhindern können. Die Antwort ist jein. Anti-Ransomprogramme erkennen bekannte Infektionen und die erkennen Antiviren-Programme in der Regel auch. Manche Anti-Ransomprogramme platzieren zusätzlich bestimmte Junk-Dateien und überwachen diese dann. Wird der PC von Ransomware angegriffen und eine der platzierten Dateien verschlüsselt, meldet das das Programm. Erforderlich ist dann ein manuelles Eingreifen, um die Infektion zu stoppen. Bis zum Eingreifen können allerdings schon eine Menge Dateien verschlüsselt sein. Wenn man bei der Meldung des Angriffes gerade nicht vor dem Computer sitzt, hat man schlechte Karten.
Fazit: Besser als sich auf Anti-Ransomprogramme zu verlassen ist es, das Betriebssystem und die Antiviren-Software immer auf dem neuesten Stand zu halten und regelmäßig Backups wichtiger Daten zu erstellen und diese getrennt vom Computer aufzubewahren. Wenn Sie zusätzlich noch darauf achten, keine E-Mail-Anhänge zu öffnen, sind Sie gut abgesichert.
Update 18.05.2017: In dem Spiegel-Artikel So arbeiten die "WannaCry"-Jäger setzten sich die Autoren sehr ausführlich damit auseinander, woher WannaCry stammt und wer für die aktuelle Infektionswelle verantwortlich ist.
Gute Nachrichten für Betroffene: Bitte kommen Sie der Lösegeldzahlung niemals nach!
Wie bei vielen anderen Ransomware Verschlüsselungs-Trojanern sind Sicherheitsexperten immer bemüht, die Malware auszuhebeln und entsprechende Entschlüsselungs-Tools zeitnah für die Wiederherstellung bereitzustellen.
"Die WannaCry Ransomware wurde erfolgreich geknackt, die verschlüsselten Daten können wiederhergestellt werden!
Konnten anfänglich mit WannaCry verschlüsselte Daten nur auf Windows XP Systemen wiederhergestellt werden, so wurden die Tools inzwischen erfolgreich auf Windows XP bis Windows 7 eingesetzt. Die kostenfreien Tools können zu erfolgreichen Wiederherstellung auf Windows XP, Windows 7, Windows Vista, Windows Server 2003 und 2008 eingesetzt werden.
WannaKey von Adrien Guinets WannaKey - Download: https://github.com/aguinet/wannakey
WanaKiwi von Benjamin Delpys - Download: https://github.com/gentilkiwi/wanakiwi und Youtube: https://www.youtube.com/watch?v=PGg2th0wSVY
"Ist Ihr Rechner von einem Erpressungs-Trojaner gesperrt und die Daten verschlüsselt, können die Infektion aber nicht einordnen, lesen sie bitte hier>>