Ransomware WannaCry: Fakten und wichtige Schritte im Fall einer Cyberattacke

Unter dem Buzzword „WannaCry“ ging im Mai 2017 ein Gespenst durch die Medien. Die Schadsoftware WannaCry hatte weltweit über 230.000 Windows-Rechner infiziert. Die Ransomware fordert von den Opfern ein Lösegeld für die Entschlüsselung der infizierten Rechner. Davon betroffen sind unter anderem bekannte Konzerne wie die spanische Telefónica, der britische Gesundheitsdienst (NHS), Renault, Nissan und die Deutsche Bahn. Durch die unvorhergesehene Verschlüsselung der IT-Systeme dieser Unternehmen entstand kurzfristig großes Chaos. Im folgenden GEKKO Blog-Beitrag erfahren Sie wie Sie Ihr Unternehmen vor Cyberkriminalität besser schützen und wie Sie im Ernstfall professionell reagieren.

WannaCry, eine neue Art von Ransomware

Die jüngste Ransomware-Variante trägt den Namen WannaCry (auch WannaCrypt, WCry oder Wcrypt). Es handelt sich dabei um eine der bisher größten Ransomware-Wellen, die innerhalb weniger Stunden mehrere hunderttausend PCs befallen hat.

Anders als die bisher bekannten Inkubationsmechanismen von Ransomware verbreitete sich WannaCry nicht per E-Mail, sondern durch eine Sicherheitslücke im SMB-Protokoll von Windows. Dabei wurden PCs bzw. Server attackiert, die ohne entsprechend vorgeschaltete Sicherheitsmaßnahmen direkt über das Internet erreichbar sind. Über die Server breitete sich WannaCry dann in deren Netzwerk aus und infizierte Desktop-PCs.

Wesentliches Detail der Attacke: Jene Sicherheitslücke wurde von Microsoft bereits Mitte März 2017 mit einem Update geschlossen! Jedoch hatte  viele Unternehmen dieses Update noch nicht installiert.

22-jährige Sicherheitsforscher stoppt die Welle

Gestoppt wurde die Ausbreitung zufällig von Marcus Hutchins, Sicherheitsforscher aus London, der den metaphorischen Notausschalter der Ransomware umgelegt hatte. Er stieß bei der Analyse des Schadsoftware-Quellcodes auf eine Domain, die er, in der Hoffnung den Angriff zu stoppen, registriert hatte. WannaCry prüft vereinfacht dargestellt vor jeder Weiterverbreitung, ob diese Domain registriert ist und vermehrt sich nicht mehr, wenn dies geschehen ist.

Trotz Lösegeld keine Daten zurück

Sicherheitsforscher fanden heraus, dass es selbst nach einer Zahlung des Lösegelds technisch nicht möglich ist die Daten wieder zu entschlüsseln, da Lösegeldzahlungen nicht den entsprechenden PCs zugeordnet werden können. Teile des Quellcodes der Schadsoftware weisen auf die sogenannte Lazarus-Gruppe hin – eine Gruppierung, von der angenommen wird, dass sie im staatlichen Auftrag Nordkoreas agiert.

Betroffen von WannaCry waren hauptsächlich PCs mit Windows 7 (zu über 98%), gefolgt von Windows Server 2008 R2-Systemen. Zwischenzeitlich wurde von einem engagierten französischen Sicherheitsforscher ein Entschlüsselungs-Tool veröffentlicht, mit dem die verschlüsselten Dateien wieder lesbar werden. Das Tool namens wanawiki funktioniert nachgewiesen unter Windows 2003, XP und 7. wanawiki durchsucht den Arbeitsspeicher eines infizierten PCs nach dem kryptografischen Schlüssel, der zur Verschlüsselung verwendet wurde, und versucht damit die Dateien zu entschlüsseln. Dies ist jedoch mit einer großen Portion Glück verbunden und sollte so schnell wie möglich durchgeführt werden, da dieser Schlüssel nach einiger Zeit überschrieben werden kann. Darüber hinaus muss beachtet werden, dass diese Variante nur funktioniert, wenn der Rechner nach der Infektion noch nicht heruntergefahren oder auch nur in den Ruhezustand versetzt wurde (Achtung: Ruhezustand, nicht Energie sparen).

Ransomware-Infektion: 10 Schritte zur sofortigen Umsetzung!

Trotz aller getroffener Sicherheitsmaßnahmen kann es passieren, dass Rechner in Ihrem Unternehmensnetzwerk Opfer einer Cyberattacke werden. Bleiben Sie in diesem Fall ruhig und reagieren Sie so schnell wie möglich, denn bei Ransomware nimmt der Schaden sekündlich erheblich zu.

Jetzt kostenlos zum Download: Unser 10-Schritte-Aktionsplan bei Ransomware-Infektion!

FrauHerr
* diese Felder müssen ausgefüllt werden
2017-10-05T16:59:15+00:00 21.06.2017|IT-Security, Tipps & Ratgeber|

About the Author:

Johannes Kunschert
Als Mitgründer der GEKKO und Vater von 7 Kindern, ist Projektmanagement sein zweiter Name. Dank seiner 20-jährigen IT-Erfahrung ist Jo Experte in der Abwicklung professioneller IT-Betreuung. Fordern Sie ihn einfach heraus!

Hinterlassen Sie einen Kommentar