Ransomware erkennen, entfernen & vermeiden

"WannaCry" FAQ

23.05.2017
Von 


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Der bislang größte Ransomware-Angriff sorgt in den Mainstream-Medien für überraschte Gesichter. Viele IT-Security-Experten können da nur die Hände vor’s Gesicht schlagen.

Denn es ist ja nicht so, als wäre - insbesondere die Business-Welt - nicht immer wieder seit Jahren eindringlich vor den massiven Folgen möglicher Datenlecks, Sicherheitslücken und Hackerangriffe gewarnt worden. Die bislang größte Ransomware-Attacke, die Großunternehmen, Behörden, Institutionen und Krankenhäuser in mehr als 150 Ländern weltweit seit dem 12. Mai 2017 heim sucht, sollte nun auch den letzten IT-Security-Muffeln auf die Sprünge helfen.

WannaCry? Das müssen Sie über die Ransomware-Epidemie wissen.
WannaCry? Das müssen Sie über die Ransomware-Epidemie wissen.
Foto: Zephyr_p - shutterstock.com

Was ist "WannaCry"?

Es handelt sich dabei um Erpressungs-Malware, sogenannte Ransomware. Das Schadprogramm wurde offensichtlich zunächst über eine groß angelegte Spear-Phishing-Kampagne verbreitet und nutzt eine Sicherheitslücke im SMB (Server Message Block)-Protokoll von Windows, das für Filesharing-Zwecke verwendet wird. Beim Security-Anbieter Malwarebytes will man inzwischen herausgefunden haben, dass sich die Ransomware nicht über E-Mail verbreitet hat: "Malwarebytes-Recherchen zeigen, dass der "Ransomwurm" öffentliche SMB-Ports im Visier hatte und die von der NSA genutzte Sicherheitslücke EternalBlue nutzte, um ins Netzwerk zu gelangen. Dann verwendete er die (ebenfalls von der NSA genutzte) Sicherheitslücke DoublePulsar für die Installation der WannaCry-Ransomware", heißt es in der entsprechenden Pressemitteilung.

"WannaCry" (unter anderem auch: "Wanna Decryptor", "Wana", "WanaDecrypt0r") verschlüsselt bei Aktivierung sämtliche Daten auf dem befallenen Rechner und gibt diese erst nach einer Lösegeldzahlung wieder frei. Im Fall von "WannaCry" liegt der Betrag zwischen 300 Euro und 600 Euro.

Die tückische Eigenheit der "WannaCry"-Ransomware: Sie ist darauf ausgelegt, sich ähnlich schnell wie ein Computerwurm zu verbreiten. Zu "verdanken" ist das den vor einigen Monaten geleakten NSA-Hacking-Tools, die die Kreation der Ransomware offenbar beeinflusst haben. Ein Tool namens "EternalBlue" macht es beispielsweise ganz besonders einfach, Rechner mit ungepatchten Windows-Versionen zu übernehmen. Sobald der erste Rechner infiziert ist, versucht sich die Ransomware auf alle, lokal über das Netzwerk verbundenen Geräte auszuweiten. Anschließend scannt die Malware das Internet nach weiteren potenziellen Opfern - ein erpresserischer Schneeball-Effekt.

Wer war von der Erpresser-Malware betroffen?

Europol registrierte mehr als 230.000 Rechner in 150 Ländern weltweit, die von der "WannaCry"-Ransomware befallen sind. Die Schwerpunkte des Hackerangriffs sollen in Russland, der Ukraine und Taiwan liegen. Besonders hart traf es neben dem russischen Innenministerium unter anderem auch den britischen National Health Service und damit etliche Krankenhäuser.

Auch verschiedene große Unternehmen waren von der Ransomware betroffen. In Deutschland zum Beispiel die Deutsche Bahn, deren Anzeigetafeln plötzlich eine Aufforderung zur Lösegeldzahlung präsentierten. In Spanien traf es Telefonica, in den USA FedEx, in Frankreich fragte man sich bei Renault: "WannaCry"? Malwarebytes hat eine Video-Heatmap zum zeitlichen Ablauf der Ransomware-Attacke erstellt:

Bislang gibt es keine Informationen oder Erkenntnisse darüber, ob bei der ersten Angriffswelle auch Daten abgegriffen wurden. Die betroffenen Unternehmen schließen das bislang aus. Die Sicherheitsexperten von F-Secure teilten über Twitter mit, dass "WannaCry" trotz seiner rasanten Verbreitung seinen cyberkriminellen Schöpfern bislang nur einen relativ moderaten Gewinn beschert habe: