FAQ zur Ransomware-Attacke

Das sollten Sie über WannaCry wissen

05.09.2017
Von Jens Zeyer
WannaCry hat hundertausende Rechner lahmgelegt und millionenschäden verursacht. Lesen Sie mehr über die Hintergründe des bis dato folgenschwersten Ransomware-Angriffs und wie Sie sich gegen neue Attacken schützen können.

Die Ransomware-Pandemie WannaCrypt0r (WannaCry) hat vor allem Arbeitsplätze in Unternehmen befallen und auch Server mit veralteten Windows-Versionen blieben nicht verschont. Was WannaCry ist, wie die Ransomware funktioniert sowie weitere Fragen, behandelt der nachfolgende FAQ-Artikel.

Die Ransomware WannaCry hat viele Anwender verzweifeln lassen.
Die Ransomware WannaCry hat viele Anwender verzweifeln lassen.
Foto: Preechar Bowonkitwanchai - shutterstock.com

1. Was genau ist WannaCry eigentlich?

WannaCry ist eine sogenannte Ransomware und wird im Deutschen auch als Erpressungstrojaner bezeichnet. Diese Art von Malware verschlüsselt die Daten seiner Opfer und verlangt ein Lösegeld für den Zugang zu den so gesperrten Daten. Meistens soll dieses Lösegeld in Form von Bitcoins gezahlt werden, da dies die Nachverfolgung der Zahlungen zusätzlich erschwert. Diese Vorgehensweise ist keinesfalls neu und wird schon seit 2005 regelmäßig angewandt. Das FBI schätzt, dass Cyber-Kriminelle 2016 über 830 Millionen Dollar mit Ransomware erbeutet haben. Meistens wird Ransomware über bösartige E-Mails verschickt, die beispielsweise einen Anhang mit einer gefälschten Rechnung als Word-Dokument oder PDF enthalten. Wird der Anhang geöffnet, führt er ein bösartiges Script aus (JavaScript, Makro, VBScript), das die Payload von WannaCry herunterlädt, die dann ihrerseits die Daten des Opfers verschlüsselt.

Wie Sie sich gegen Ransomware-Attacken schützen können lesen Sie im kostenlosen Insider-PDF der COMPUTERWOCHE:

Sind Sie bereit für die nächste Ransomware-Attacke?

2. Was war beim Angriff im Mai so besonders?

Bei diesem Angriff von WannaCrypt0r handelte es sich um Version 2.0 der Ransomware. Mittlerweile gibt es bereits WannaCry 3.0, die den sogenannten "Killswitch" durch den die vorherige Version relativ einfach zu stoppen war, nicht mehr beinhaltet. Die Entwickler der Schadsoftware veröffentlichen dazu natürlich keine offiziellen Releases. Allerdings hatte die erste Version, die sich allein auf bösartige E-Mails stützte, nicht den erhofften Erfolg. WannaCrypt0r 2.0 war um einiges effizienter und nutzte zusätzlich eine Schwachstelle in der Windows-Dateifreigabe (SMB). Dieser Schwachpunkt, der am 14. März 2017 im Sicherheits-Bulletin MS17-010 von Microsoft korrigiert wurde, macht es möglich, auf einem anderen Rechner beliebig Codes auszuführen. Aus diesem Grund konnten Server infiziert werden, die nicht rechtzeitig aktualisiert wurden - allen voran solche unter Windows Server 2008 oder mit älteren Betriebssystemen von Microsoft. Erst ab Windows Server 2012 und Windows 10 wurde die Firewall so konfiguriert, dass die Dateifreigabe nicht für alle öffentlich ist. Was erklärt, warum nicht noch mehr Systeme betroffen sind. Die Microsoft-Dateifreigabe ist nämlich bei den gefährdeten Geräten über den TCP-Port 445 frei zugänglich. WannaCry nutzt zusätzlich eine Schwachstelle im System, was der Vorgehensweise eines Computerwurms entspricht, und ist somit eine Mischform zwischen Wurm und Ransomware. Da diese Schwachstelle speziell bei Microsoft existiert, wurden von WannaCry Arbeitsplätze in Unternehmen angegriffen, die für ihr Betriebssystem auf den Marktführer setzen.

3. Wie funktioniert WannaCry und warum sind vor allem Unternehmen betroffen?

WannaCry startet gleichzeitig zwei verschiedene Scan-Methoden, um das Internet nach weiteren ungeschützten Rechnern zu durchforsten: Die erste Methode scannt das lokale Netzwerk, um weitere verbundene Geräte zu infizieren, wobei der Code der Ransomware nie mehr als 10 Angriffsversuche auf einmal startet, damit er nicht vom Angrifferkennungssystem (IDS) als Bedrohung erkannt wird. Diese Vorsichtsmaßnahme lässt auch darauf schließen, dass speziell interne Netzwerke von Unternehmen Ziel der Attacke sind. Die zweite Methode scannt das Internet mithilfe valider IPv4-Adressen, die zufällig erstellt werden, indem die vier Oktetts der Adresse einzeln generiert und alle IPs, die mit 127 oder einem Oktett über 224 anfangen, ausgelassen werden. Wird eine ungesicherte IP gefunden, überprüft der Wurm interessanterweise auch die Sicherheit der anderen IPs des gleichen /24 Subnetzes, das heißt der 253 benachbarten IP-Adressen. Nach Beobachtungen von OVH können die infizierten Rechner so ungefähr 30 IP-Adressen pro Sekunde scannen. Ebenfalls interessant ist die Wartefrist für erneute Infizierungsversuche. Der Entwickler von WannaCry hat sich die Mühe gemacht, eine Wartefrist von über einer Stunde einzurichten, nach deren Ablauf erneut die Verbindung zum Server hergestellt werden soll. Kurzum: Mehrere Entscheidungen der Entwickler in den Algorithmen der Ransomware deuten darauf hin, dass der Code gezielt Unternehmen angreift. Schließlich sind die Rechner in einem Unternehmen größtenteils gleich, was wiederum die Chancen erhöht, schnell ungesicherte Geräte in einem lokalen Netzwerk zu finden. Der Scan des gesamten Internets ist vergleichsweise wenig effizient. Daher wurden insgesamt weniger Server als Arbeitsplätze in Unternehmen infiziert. Trotzdem stellen Server ein gutes Ziel für die Verbreitung von Ransomware dar, da sie eine wesentlich höhere Bandbreite besitzen und das Internet bedeutend schneller auf gefährdete Rechner durchsuchen können.

4. Wie ist OVH mit diesem Angriff umgegangen?

Zunächst einmal ist zu sagen, dass OVH-eigene Server nicht betroffen waren. Nur Server, die von OVH Kunden nicht regelmäßig aktualisiert wurden, waren von WannaCry infiziert. Bei OVH führte ein sogenanntes SOC-Team (Security Operations Center, das Sicherheitsteam) umfangreiche Untersuchungen durch, um am Ende die Verantwortlichen ausfindig zu machen und diese Informationen an die Behörden weiterzuleiten. In der Nacht vom 12. auf den 13. Mai wurde das Sicherheitsteam auf den Angriff aufmerksam, da die Honeypots (Server, die vom SOC-Team verwaltet und absichtlich verschiedenen Bedrohungen im Internet ausgesetzt werden, um deren Gefährlichkeit einzuschätzen) wegen des plötzlichen Anstiegs der Scans von OVH IP-Adressen Alarm schlugen. Anschließend wurden umgehend folgende Maßnahmen eingeleitet:

  • die Suche nach Patient Zero (dem ersten von WannaCry infizierten Computer, über den der Wurm ins Netz von OVH gelangen konnte),

  • Reverse Engineering der Ransomware, um ihre Funktionsweise vollständig zu verstehen,

  • Maßnahmen gegen die weitere Verbreitung von WannaCry auf andere gefährdete Rechner

  • sowie die genaue Untersuchung der Rechner im Netzwerk von OVH.

Mithilfe der Maßnahmen konnte die Verbreitung zunächst verlangsamt werden, um letztendlich die Situation am 13. Mai unter Kontrolle zu bringen. Bis um 5 Uhr früh am 14. Mai war wieder der Normalzustand eingekehrt.

5. Mein System ist infiziert: Soll ich zahlen oder nicht?

Wer die Erpresser bezahlt, unterstützt die kriminellen Netzwerke mit Geld, um noch effizientere Malware zu entwickeln. Auch wenn in einigen Fällen die Daten nach Eingang der Zahlung wiederhergestellt wurden, sollte man auf keinen Fall zahlen. Denn es gibt einfach keine Garantie. Am besten werden die Systeme auf die neueste Windowsversion aktualisiert und die aktuellen Sicherheitspatches von Microsoft installiert, um WannaCry einzudämmen. Mit etwas Internet-Recherche lässt sich das ein oder andere Tool auffinden, um die Daten wieder zu entschlüsseln. Das französische Tool "WannaKiwi" zum Beispiel sucht auf den jeweiligen Rechnern nach dem Private Key. Kaspersky Lab hat sogar extra eine Plattform mit gleich mehreren Tools eingerichtet, die beim Entfernen von Ransomware und dem Entschlüsseln der Daten helfen. Ebenfalls kann man auf der nächsten Polizeidienststelle Anzeige erstatten und sich zum weiteren strafrechtlichen Vorgehen informieren. Und man kann es nicht oft genug sagen: Regelmäßige Backups der Daten erstellen! Außerdem sind seit diesem Angriff nicht wenige Websites komplett außer Betrieb. Ist dieser Fall eingetreten, empfiehlt es sich, dringend alle Passwörter zu ändern. Ausnahmslos. Denn dann waren alle Dateien des Nutzers im Internet frei zum Download verfügbar. Diese waren zwar vielleicht auch verschlüsselt, jedoch könnte sich dennoch irgendjemand einen Spaß daraus machen, die config.php-Datei zu entschlüsseln, um so Zugang zu der Datenbank zu erhalten.