WannaCry: Was Sie wissen müssen

Bedrohungen & Hacks, Podcast

Update: Wir haben eine Sonderfolge des F-Secure Safety Casts produziert, in der Rüdiger Trost genauer erklärt, wie WannaCry arbeitet und was hinter der Malware steckt.

Die Sonderfolge ist auch als Audiocast verfügbar:

Was ist passiert?

Am 12. Mai wurden zahlreiche Unternehmen, Behörden und Privatpersonen Opfer einer weltweiten Ransomware-Attacke. Diese Malware trägt den Namen WannaCry oder WannaCrypt0r. Nach der Infektion sucht die Ransomware nach insgesamt 179 Dateitypen und verschlüsselt wichtige Dateien, etwa Office-Dokumente oder Fotos. Die Opfer können für rund 300 US-Dollar einen Entschlüsselungscode kaufen. Dieses Video zeigt, wie WannaCry arbeitet:

Bin ich verwundbar?

Die Schadsoftware attackiert Windows-Systeme und nutzt eine spezielle Lücke – MS17-010 – um sich Zugang zu verschaffen. Diese Lücke wurde im März 2017 im Rahmen des Patch Days geschlossen, allerdings nur für aktuelle Windows-Systeme, also Windows 8.1 aufwärts. Wer sein System auf dem Laufenden hält, ist für die erste Welle nicht verwundbar.

Anders sieht es bei älteren Betriebssystemen wie Windows XP, Windows 8 oder Windows Server 2003. Diese werden eigentlich nicht mehr unterstützt, entsprechend gab es kein Update. Microsoft hat nach der Attacke ein Update erstellt. Wer immer noch diese Betriebssysteme nutzt, sollte den Patch schnellstmöglich installieren.

Wer aktuelle F-Secure Sicherheitsprodukte nutzt, ist vor der Attacke geschützt. Unsere Produkte erkennen die Original-Malware und bekannte Varianten.

Wie infiziert WannaCry seine Opfer?

Die Infektion erfolgt scheinbar per E-Mail oder über den Download einer manipulierten PDF-Datei.

Was ist Ransomware?

Bei Ransomware handelt es sich um eine besonders perfide Schadsoftware. Nach der Infektion durchsucht diese Art von Schadsoftware das System nach wichtigen Informationen, etwa Dokumenten, Präsentationen, Bildern oder Videos. Anschließend verschlüsselt sie gefundene Daten und präsentiert dem Anwender Informationen darüber, wie er seine Dateien frei kaufen kann.

 

Wie gefährlich ist der Angriff?

Mikko Hyppönen, der Chief Research Officer von bei F-Secure, nennt den Angriff „die größte bekannte Ransomware-Attacke“. Laut Europol hat die Malware über 200 000 Systeme in mehr als 150 Länder infiziert. In Großbritannien legte WannaCry Krankenhäuser lahm, hierzulande erwischte es die Deutsche Bahn. Während wir in Deutschland also relativ glimpflich davongekommen sind, sind die Auswirkungen in England katastrophal wie dieser Tweet zeigt:

Die Malware war auch deswegen so erfolgreich, weil sie auf Techniken und Software aus der Werkzeugkiste der NSA zugreifen konnte. Diese Daten wurden kürzlich veröffentlicht, darunter fand sich auch die Sicherheitslücke in Windows, die WannaCry nutzt.

Ich wurde erwischt,  wie kann ich meine Daten entschlüsseln?

Zum aktuellen Zeitpunkt (15. Mai) gibt es keinen Decryptor für WannaCry. Entsprechend lassen sich die Dateien (noch) nicht kostenlos entschlüsseln.

Ist die Attacke gestoppt?

Jein. Dem Sicherheitsforscher MalwareTech gelang es, einen sogenannten Kill Switch zu finden. Stark vereinfacht gesagt prüft die Malware, ob bestimmte Domains erreichbar sind. Werden die Anfragen beantwortet, stoppt WannaCry seine Ausbreitung.

Allerdings gibt es bereits neue Varianten sowie Trittbrettfahrer. Der Quelltext der Malware ist im Internet verfügbar, entsprechend dürften weitere Attacken folgen.

Wie schütze ich mich jetzt?

Zunächst sollten alle Updates für das eigene Betriebssystem installiert werden. Das gilt für Windows-Updates ebenso wie für das Flash-Plugin, Java oder sonstige auf dem System installierte Programme. Zusätzlich sollte ein aktuelle Sicherheitssoftware installiert werden, etwa F-Secure SAFE.

Langfristig sollte man wichtige Daten nach der 3-2-1-Methode sichern: Von jeder wichtigen Datei sollte es mindestens drei aktuelle Kopien geben, die auf mindestens zwei verschiedenen Datenträgern gespeichert werden, mindestens eine davon an einem anderen Ort. Eine solche Backup-Strategie schützt die Daten auch dann, wenn eine neue Schadsoftware alle bekannten Schutzmaßnahmen durchbricht.

Ich nutze F-Secure Produkte, bin ich sicher?

Kunden, die ihre Computer mit F-Secure schützen, müssen sich keine Sorgen machen. Dank der Deepguard-Funktion erkennen unsere Produkte verdächtige Programme wie Ransomware und stoppen sie.

Unternehmen können über die Funktion „Software Updater“ dafür sorgen, dass ihre Betriebssysteme und genutzte Produkte immer auf dem aktuellsten Stand sind. Der Software Updater liefert auch einen Patch für die von WannaCry genutzte Sicherheitslücke.

Sollten wieder erwarten alle Schutzmaßnahmen versagen blockiert die Firewall in unseren Schutzprodukten die Ausbreitung im eignen Netzwerk.

Ist WannaCry ein Wurm oder ein Trojaner?

Die Malware ist ein Trojaner, der sich Wurm-gleich weiterverbreitet, sobald er in einem Netzwerk Fuß fassen konnte.

Wie viel haben die Kriminellen verdient?

Dem Erfolg von WannaCry stehen vergleichsweise geringe Einnahmen gegenüber. Aktuell zeigen drei zur Ransomware gehörenden Bitcoin-Adressen ein Transaktionsvolumen von knapp 24,6 Bitcoin, das entspricht beim derzeitigen Kurs knapp 39 000 Euro. Wo immer möglich sollten Opfer nicht zahlen. Insgesamt wirken die Macher vom Erfolg überrascht. Rüdiger Trost sagt dazu im Interview mit Zeit Online: „Die geringen Lösegeldforderungen haben mich stutzig gemacht. Um ihre Daten zurückzubekommen, sind die Betroffenen in einem ersten Schritt aufgefordert worden, 300 Dollar in Bitcoin zu zahlen. Sicher, in diesem Fall macht es die Zahl der Betroffenen und der Betrag hat sich mit der Zeit auch verändert. Doch Ransomware erkennt eigentlich, wie reich ein Unternehmen ist und passt das Lösegeld an. Meiner Einschätzung nach hat der Angreifer nicht damit gerechnet, dass seine Schadsoftware dermaßen durchschlägt.“

Wo finde ich weitere Informationen und Updates?

Wir haben eine spezielle Seite für Ransomware-Bedrohungen eingerichtet, dort werden auch alle neuen Daten zu WannaCry veröffentlicht. Bei neuen Entwicklungen aktualisieren wir auch diesen Blogeintrag.

Zusätzlich haben wir diese weiteren Artikel veröffentlicht:

What you need to know about WannaCry now – Englisch

WannaCry: Der größte Ransomware-Ausbruch aller Zeiten – Deutsch

WCry: Knowns and Unknowns – F-Secure Lab – Englisch

 

Diesen Beitrag bewerten

7 Bewertungen

4 Kommentare

Ich möchte noch ein, zwei lose Enden etwas aufschlüsseln.

Der Wanna Cry orientiert sich in der Höhe der Lösegeld Forderung am sogenannten Big Mac Index. Der Big-Mac-Index ist ein Indikator, der die Kaufkraft verschiedener Währungen durch den Vergleich der Preise eines Big Mac darstellen soll. Dazu werden die Preise des Big Mac, eines Cheeseburgers von McDonald’s, in den Währungen verschiedener Staaten bzw. Währungsräume verglichen. Sollte Christian eigentlich kennen. 😀

Das heißt, der Stück Code ist sogar so schlau, zu erkennen, in welcher Region er sich gerade registriert. Das soll verhindern, das man bestimmte Regionen mit total überzogenen Forderungen zubombt und andere wiederum mit lächerlich niedrigen Forderungen quasi ignoriert.

Zusätzlich wegen den veralteten Betriebssystem, die noch im Einsatz sind. Da hängt viel mehr hinter als die Faulheit der entsprechenden Unternehmen / Admins. Da hängt viel mehr Zeugs hinter, als man meinen mag. Gerade alles, was im operativen Einsatz benutzt werden, muss i.d.R. von den Aufsichtsbehörden (z.b. Eisenbahnbundesamt) neu zertifiziert werden, wenn dort Änderungen durchgeführt werden. Oder in den Krankenhäusern. Da hast du dann MRT´s, CT´s und wie das alles heißt auf alten Kisten laufen, weil die entsprechende Software nicht aufwärts kompatibel ist oder im schlimmsten Fall ist dieser schon lange Insolvent. Genauso wie die CNC Fräsen in den Werkhallen… Die kann man schlicht und ergreifend nicht upgraden, weil es keine Software gibt, die auf neueren Systemen läuft.

Und diese WannaCry Version ohne den entsprechenden KillSwitch gibt es schon lange, verbreitet sich aber wesentlich geringer, weil die entsprechenden Systeme durch die erste Infizierung schon zum größten Teil gepatcht worden sind.

Ich nenne es jetzt mal Kundenservice von diesem Ransomware Ersteller funktioniert wesentlich besser und gründlicher als der normale Kundenservice von z.b. F-Secure, Avast usw. Weil, sollte es sich rumsprechen, das man die Dateien nicht wieder entschlüsselt bekommt, wenn man zahlt dann zahlt keiner mehr. Und genau das ist ja deren Geschäftsmodell!

Gefällt mir

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Könnte Ihnen ebenfalls gefallen