Ransomware erkennen, entfernen & vermeiden

"WannaCry" FAQ

23.05.2017
Von 


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.

Wie schützt man sich vor "WannaCry"?

Security-Profis fanden schnell heraus, dass die "WannaCry"-Ransomware ein kleines Schadprogramm nutzt, das versucht, sich mit einer unregistrierten Web Domain zu verbinden. Schlägt die Verbindung fehl, schreitet die Infizierung des Systems voran. Klappt die Verbindung, wird die Infektion gestoppt. Durch die Registrierung und Befüllung der betreffenden Domain könnte ein unabhängiger Sicherheitsprofi unter Umständen einen "kill switch" gefunden haben, der die weitere Ausbreitung von Infektionen verhindern könnte. Erste Beobachtungen lassen eine Eindämmung zumindest vermuten.

Jerome Sagura, Sicherheitsexperte bei Malwarebytes, warnt jedoch vor zu viel Optimismus: "Es ist zu früh, um sicher sagen zu können, dass dieser Angriff vorbei ist. Es könnten andere Versionen der Ransomware auftauchen, die den ‚kill switch‘ einfach umgehen." Die schlechte Nachricht: Bereits infizierten Systemen hilft auch der "kill switch" nicht mehr. Sollten Sie von "WannaCry" oder einer anderen Ransomware-Variante betroffen sein, finden Sie in folgenden Beiträgen weiterführende Informationen und Handlungsanweisungen:

Microsoft veröffentlichte Stunden nach Bekanntwerden des Ransomware-Angriffs weitere Sicherheitsupdates für Windows XP, Windows Server 2003 und Windows 8, um die Verbreitung von "WannaCry" weiter einzudämmen. Was in jedem Fall Ihre erste Maßnahme sein sollte, sagt Ihnen der Security-Experte, der den "kill switch" für die Ransomware gefunden hat, am besten gleich selbst:

Ist Wanawiki das Ransomware-Gegengift?

Für Nutzer, Unternehmen und Institutionen, deren Windows-XP- oder Windows-7-Rechner Opfer der WannaCry-Malware wurden, lautet die Antwort höchstwahrscheinlich ja. Auch infizierte Windows-Server-2003-Systemen soll das Tool Wanawiki helfen können.

Bei Wanawiki handelt es sich um ein Software-Tool, das von französischen Security-Experten entwickelt wurde und einen infizierten Rechner potenziell bereinigen kann. Dazu schnüffelt die Software die Ransomware aus, um den Verschlüsselungscode zu rekonstruieren, mit dem die Daten in erpresserischer Geiselhaft gehalten werden. Matt Suiche, Hacker und Mitbegründer von CloudVolumes, beschreibt in seinem Blogeintrag die genauen technischen Hintergründe zur Funktionsweise der Software.

Es gibt dabei jedoch zwei Dinge zu beachten: Zum einen dürfen die infizierten Rechner nicht neu gestartet werden, zum anderen sollten Betroffene das Wanawiki-Tool so schnell wie möglich herunterladen und ausführen.

Wer ist schuld an der Ransomware-Attacke?

Für viele die drängendste Frage: Wer ist schuld an der weltweit bislang größten Ransomware-Attacke? Die NSA und andere Geheimdienst‘ler? Microsoft? Die Unternehmen und Behörden selbst? Sehr wahrscheinlich sind es alle ein bisschen.

Microsofts Chief Legal Officer, Brad Smith, veröffentlichte im Rahmen eines Blogposts eine Stellungnahme zum "WannaCry"-Angriff: "Immer wieder sind Exploits, die sich in den Händen von Regierungsinstitutionen befinden, öffentlich gemacht worden und haben großen Schaden angerichtet. Dieser neue Angriff stellt eine Verbindung der beiden ernsthaftesten Bedrohungen für die IT Security dar: staatlich gelenkte Hackerangriffe und organisierte Cyberkriminalität."

Der Windows-Riese aus Redmond hatte die Sicherheitslücke, die "WannaCry" ausnutzt, bereits Mitte März gestopft. Weil dieses Update nur für neuere Windows-Versionen ausgerollt wurde, blieben - insbesondere - viele Unternehmens-Server ungepatcht. Das verdeutlicht ein weiteres Mal, dass es oft die ganz trivialen Dinge der IT Sicherheit - Beispiel Patch Management - im Unternehmen sind, bei denen der Schlendrian Einzug hält.

Dabei spielen natürlich auch Dinge wie Budgets eine Rolle, die, wenn es um die IT-Sicherheit geht, oft nicht so ausfallen, wie sie es sollten. Das Ergebnis sind auch veraltete Systeme, die aus Spargründen weiter genutzt werden. Schließlich ist ja noch nie etwas passiert. Oder sie haben es nur nicht bemerkt. Die erste weltweite Ransomware-Epidemie sorgt entsprechend für Diskussionsstoff unter Security- und IT-Experten. Dabei ruft "WannaCry" auch jede Menge (Galgen-)Humor hervor, wie ein Blick auf Twitter zeigt: