WannaCry, offiziell WanaCryptor 2.0, die Erpresser-Software, die am Wochenende viele Computer befallen hat, ist wie eine Epidemie, Europol spricht sogar von einer weltweiten Attacke von „beispiellosem Ausmaß“.
Am Freitag begann der Epressertrojaner WanaCryptor sein Werk. Und legte innerhalb kürzester Zeit 200.000 Computersysteme in über 150 Ländern lahm. Wie die Ransomware sich verbreitet und ob sie gestoppt werden konnte, erfahrt ihr bei uns.
Für den Fall, dass ihr eigentlich gar nicht so genau wisst, was Erpressertrojaner sind, wie sie funktionieren und wie ihr euch vor ihnen schützen könnt, lest unbedingt unseren Ratgeber Erpressertrojaner und Verschlüsselungssoftware.
Der Sperrbildschirm des Erpressertrojaners WannaCry.
WannaCry legt Rechner lahm
Die Vorgehensweise von WannaCry ist typisch für Verschlüsselungssoftware: Ist das System erst einmal infiziert, verschlüsselt der Trojaner sämtliche Daten. Anwender sollen für die Entschlüsselung ein Lösegeld zahlen, bei WanaCryptor 2.0 sind es 300 US-Dollar in Form von Bitcoins. Das sind aktuell 274 Euro. Das besondere an diesem Krypto-Trojaner ist dabei, dass er sich selbstständig weiter verbreitet. „Dies kann in Netzwerken von Unternehmen und Organisationen zu großflächigen Systemausfällen führen“, schreibt die IT-Sicherheitsbehörde BSI. Der Trojaner ist seit Freitagabend aktiv, da waren viele Firmenrechner bereits heruntergefahren. Beim Start der Rechner am Montag könnte die Attacke erneut beginnen.
Schadsoftware WanaCryptor stammt von der NSA
Die Schadsoftware WanaCryptor basiert angeblich auf einer Sicherheitslücke, die ursprünglich der US-Geheimdienst NSA für seine Überwachung ausgenutzt hat. Hacker hatten sie bereits vor einigen Monaten öffentlich gemacht. Für die NSA ist das ein Albtraum: Wenn ihre Werkzeuge an die Öffentlichkeit gelangen, sind sie wertlos. Denn die zugrunde liegenden Sicherheitslücken werden gestopft, und die Angriffe des Geheimdienstes funktionieren nicht mehr. Zudem können Angriffe aus der Vergangenheit nicht nur nachgewiesen und bekämpft, sondern auch der NSA zugeschrieben werden. Die eine oder andere diplomatische Verstimmung zwischen internationalen Geheimdiensten ist nun zu erwarten.
WannaCry nutzt Lücke im Windows Betriebssystem
Der Trojaner WannaCry nutzt eine kritische Lücke in Windows-Betriebssystemen aus. Betroffen sind Rechner, die ein älteres Betriebssystem als Windows 10 haben und nicht auf dem aktuellen Stand sind. Und das, obwohl ein Patch gegen die Sicherheitslücke bereits seit März 2017 existiert. Anwendern wird dringend geraten, das Sicherheits-Update aufzuspielen: Microsoft selbst beschreibt weitere Details zu diesem Trojaner in dem Beitrag Customer Guidance for WannCrypt attacks. Warum vor allem Unternehmen betroffen sind, liegt daran, dass IT-Fachleute eines Unternehmens zunächst prüfen, ob neue Updates reibungslos laufen. Erst danach wird das Update auf alle Rechner verteilt.
Ransomware trifft auch Deutsche Bahn
Von der Cyberattacke durch die Ransomware ist unter anderem auch die Deutsche Bahn betroffen. Der Zugverkehr rollt zwar reibungslos, aber die Anzeigetafeln auf den Bahnhöfen, einige Ticketautomaten und die Videoüberwachung ist betroffen. „Es gibt keine Einschränkungen im Fern- und Nahverkehr“, heißt es von Seiten der Deutschen Bahn. Sie arbeitet mit Hochdruck daran, die Störung zu beheben. Derweil hat das Bundesinnenministerium die Ermittlungen des Cyberangriffs übernommen, schreibt das Ministerium auf Twitter.
Aber es sind noch mehr bekannte Opfer dabei. Neben britischen Krankenhäusern ist das russische Innenministerium ebenso betroffen, wie der Logistik-Riese FedEx in den USA, der spanische Telefonanbieter Telefónica und der französische Autobauer Renault. Die Schäden unterscheiden sich je nach betroffenem Unternehmen. Allerdings bedeutet die Attacke, dass die Systeme heruntergefahren werden müssen, um eine Ausbreitung des Trojaners zu stoppen.
WannaCry zufällig gestoppt
Die Weiterverbreitung von WannaCry wurde derweil zufällig gestoppt. Ein 22-Jähriger fand einen Web-Domainnamen im Computercode der Schadsoftware und registrierte ihn. Dadurch wurde die weitere Verbreitung des Erpressertrojaners unterbrochen. Der Trick: Die Ransomware nutzt ein kleines Virus, das sich auf dem System einnistet und dann weitere Schadsoftware herunterlädt. Dieser Download wurde unterbunden. Allerdings könnte der Programmierer von WanaCryptor seinem Virus neues Leben einhauchen, indem er den notwendigen Download auf einem anderen Server platziert.
Neue Variante von WannaCry
Angeblich existiert denn auch bereits eine neue Variante des Erpressertrojaners WannaCry. Die Gefahr ist also nicht vorbei, das Spiel zwischen Angreifern und Verteidigern geht weiter. Dabei war die Forderung der gestoppten Ransomware schon sehr perfide: Wenn ihr nicht innerhalb von drei Tagen das Lösegeld bezahlt, verdoppeln die Angreifer ihre Forderung. Nach sieben Tagen ohne Lösegeldzahlung verfällt sogar das Angebot, die Dateien wiederherzustellen.
Wie ihr die Erpressersoftware WannaCry wieder von eurem Rechner entfernt, zeigt euch dieses YouTube-Video:
Noch mehr Informationen zu diesem fiesen Erpressertrojaner findet ihr in den Artikel Krypto-Trojaner, Die Lehren aus dem Cyberangriff, Fakten zum globalen Angriff und 22-Jähriger stoppte weltweite Cyber-Attacke.
Wenn ihr einen Windows-Rechner habt, dann solltet ihr unbedingt ein Sicherheits-Update aufspielen. In Microsofts Download-Center findet ihr sicherlich das Richtige. Seid ihr euch nicht sicher, ob eurer Rechner auf dem neuesten Stand und viren- und trojanerfrei ist, dann kommt unbedingt zu eurem PC-SPEZIALIST vor Ort. Mit dem Sicherheits-Check und der professionellen Virenentfernung schützen wir euren Rechner.
Update vom 22.05.2017: Hoffnung für WannaCry-Opfer
Inzwischen scheint es Hoffnung für Opfer von WannaCry zu geben. Sicherheitsforscher haben Tools zur Entschlüsselung des Trojaners entwickelt. Sie hießen WannaKey und WannaWiwi und sollen die Daten auf befallenen Rechnern retten können. Ob sie zuverlässig und auf allen befallenen Rechnern funktionieren, ist noch unklar. Alle Infos hierzu findet ihr in den Artikeln Krypto-Trojaner, Entschlüsselungstool und Ransomware Entschlüsselungstool.
Schreiben Sie einen Kommentar