{"id":10170,"date":"2017-05-13T11:36:18","date_gmt":"2017-05-13T11:36:18","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=10170"},"modified":"2022-06-09T18:58:58","modified_gmt":"2022-06-09T16:58:58","slug":"wannacry-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/wannacry-ransomware\/10170\/","title":{"rendered":"WannaCry: Sind Sie sicher?"},"content":{"rendered":"

Vor ein paar Tagen brach eine Epidemie des trojanischen Verschl\u00fcsselungsprogramms WannaCry aus. Es scheint, dass die Epidemie global ist. Wir nennen es eine Epidemie auf Grund ihres Ausma\u00dfes. Wir haben \u00fcber 45.000 Angriffsf\u00e4lle an nur einem Tag gez\u00e4hlt. In Wirklichkeit ist diese Zahl viel<\/em> h\u00f6her.<\/p>\n

Was ist passiert?<\/h2>\n

Viele gr\u00f6\u00dfere Organisationen haben gleichzeitig eine Infektion gemeldet. Unter diesen Organisationen befanden sich verschiedene britische Krankenh\u00e4user, die ihre T\u00e4tigkeiten niederlegen mussten. Laut der Daten, die von Dritten ver\u00f6ffentlicht wurden, hat WannaCry mehr als 100.000 Computer infiziert. Deshalb hat es so viel Aufmerksamkeit auf sich gezogen.<\/p>\n

#WannaCry: Wie kann ich mich effektiv vor #Ransomware Attacken sch\u00fctzen?<\/p>Tweet<\/a><\/blockquote>\n

Die gr\u00f6\u00dfte Anzahl an Angriffen vollzogen sich in Russland, aber die Ukraine, Indien und Taiwan haben auch Sch\u00e4den durch WannaCry davon getragen. Alles in allem haben wir WannaCry in 74 L\u00e4ndern entdeckt. Dies passierte schon am ersten Tag des Angriffs.<\/p>\n

<\/p>\n

Was ist WannaCry?<\/h2>\n

Allgemein besteht WannaCry aus zwei Teilen. Zun\u00e4chst ist es ein Exploit<\/a>, dessen Ziel es ist, zu infizieren und sich auszubreiten. Der zweite Teil ist ein Verschl\u00fcsselungsprogramm<\/a>, das auf den Computer heruntergeladen wird, nachdem dieser infiziert worden ist.<\/p>\n

Das ist der haupts\u00e4chliche Unterschied zwischen WannaCry und den meisten anderen Verschl\u00fcsselungsprogrammen. Um einen Computer mit einem herk\u00f6mmlichen Verschl\u00fcsselungsprogramm zu infizieren, muss ein Nutzer einen Fehler machen, zum Beispiel indem er auf einen verd\u00e4chtigen Link klickt oder Word erlaubt, ein b\u00f6sartiges Macro zu starten, oder einen verd\u00e4chtigen Anhang von einer E-Mail Nachricht herunterl\u00e4dt. Ein System kann durch WannaCry infiziert werden, ohne dass irgendetwas getan wird.<\/p>\n

WannaCry: Exploit und Ausbreitung<\/h2>\n

Die Erfinder von WannaCry haben den Windows-Exploit \u201eEternalBlue\u201c ausgenutzt, der eine Schwachstelle verwendet, die Microsoft im Sicherheitsupdate MS17-010 vom 14. M\u00e4rz diesen Jahres geflickt<\/a> hatte. Durch die Nutzung dieses Exploits konnten die \u00dcbelt\u00e4ter einen Fernzugriff auf Computer erhalten und das Verschl\u00fcsselungsprogramm installieren.<\/p>\n

Wenn Sie das Update installiert haben und diese Schwachstelle nicht l\u00e4nger existiert, werden alle Versuche den Computer zu hacken zwecklos sein. Dennoch m\u00f6chten die Forscher vom Kaspersky Lab GReAT (Global Research & Analysis Team) klarstellen, dass das Flicken der Schwachstelle das Verschl\u00fcsselungsprogramm nicht davon abhalten wird, zu agieren. Deshalb wird Ihnen das Patch nicht helfen, wenn Sie das Verschl\u00fcsselungsprogramm irgendwie starten (siehe oben unter einen Fehler machen<\/em>).<\/p>\n

Nachdem ein Computer erfolgreich gehackt worden ist, wird WannaCry versuchen, sich selbst \u00fcber das lokale Netzwerk auf andere Computer wie ein Wurm auszubreiten. Das Verschl\u00fcsselungsprogramm scannt andere Computer auf dieselbe Schwachstelle, die durch EternalBlue ausgenutzt werden kann, und wenn WannaCry eine angreifbare Maschine findet, greift es an und verschl\u00fcsselt die Dateien darauf.<\/p>\n

Es kommt heraus, dass WannaCry durch die Infektion von einem Computer ein ganzes lokales Netzwerk infizieren und alle Computer dieses Netzwerks verschl\u00fcsseln kann. Deshalb litten gr\u00f6\u00dfere Unternehmen am meisten unter dem WannaCry Angriff \u2013 umso mehr Computer in dem Netzwerk sind, umso gr\u00f6\u00dfer ist der Schaden.<\/p>\n

WannaCry: Verschl\u00fcsselungsprogramm<\/h2>\n

Als Verschl\u00fcsselungsprogramm tut WannaCry (manchmal auch WCrypt oder WannaCry Decodierer<\/a> genannt, auch wenn es logischerweise ein Verschl\u00fcsselungsprogramm<\/em> und kein Decodierer<\/em> ist) dasselbe wie andere Verschl\u00fcsselungsprogramme: Es verschl\u00fcsselt Dateien auf einem Computer und verlangt ein L\u00f6segeld, um diese zu entschl\u00fcsseln. Es kommt einer Variation des ber\u00fcchtigten CryptXXX <\/a>Trojaners<\/a> sehr nahe.<\/p>\n

WannaCry verschl\u00fcsselt Dateien verschiedener Art (die ganze Liste ist hier<\/a>), welche nat\u00fcrlich Office-Dokumente, Bilder, Videos, Archive und andere Formate miteinschlie\u00dft, die potenziell kritische Nutzerdaten enthalten k\u00f6nnen. Die Erweiterungen der verschl\u00fcsselten Dateien wurden zu .WCRY umbenannt (also, der Name des Verschl\u00fcsselungsprogramms) und die Dateien werden vollkommen unzug\u00e4nglich.<\/p>\n

Danach \u00e4ndert der Trojaner das Desktop-Hintergrundbild zu einem Bild, das Informationen \u00fcber die Infizierung beinhaltet und die Ma\u00dfnahmen, die der Nutzer treffen soll, um die Dateien wiederherzustellen. WannaCry verbreitet Benachrichtigungen als Textdateien mit derselben Information \u00fcber Dateien auf dem Computer, um sicherzustellen, dass der Nutzer tats\u00e4chlich die Nachricht erh\u00e4lt.<\/p>\n

Wie \u00fcblich l\u00e4uft alles darauf hinaus, dass man eine bestimmte Menge an Bitcoins zu Gunsten der \u00dcbelt\u00e4ter \u00fcberweisen soll. Danach werden sie wahrscheinlich alle Dateien entschl\u00fcsseln. Anf\u00e4nglich verlangten die Cyber-Kriminellen 300 US-Dollar, aber dann entschieden sie sich daf\u00fcr den Einsatz zu erh\u00f6hen: Die letzten WannaCry Versionen verlangen ein L\u00f6segeld \u00fcber 600 US-Dollar.<\/p>\n

\u00dcbelt\u00e4ter sch\u00fcchtern die Nutzer au\u00dferdem dadurch ein, dass sie angeben, dass das L\u00f6segeld innerhalb von 3 Tagen erh\u00f6ht w\u00fcrde und dass es au\u00dferdem unm\u00f6glich sein wird, die Dateien in 7 Tagen zu entschl\u00fcsseln. Wir empfehlen es nicht, das L\u00f6segeld an die \u00dcbelt\u00e4ter zu bezahlen, da niemand garantieren kann, dass sie Ihre Dateien entschl\u00fcsseln werden, nachdem sie das L\u00f6segeld erhalten haben. Als Tatsache gilt, dass Forscher gezeigt haben, dass andere Cyber-Erpresser manchmal einfach Nutzerdaten l\u00f6schen<\/a>, was hei\u00dft dass es keine physische<\/p>\n

M\u00f6glichkeit gibt, die Dateien zu entschl\u00fcsseln, und die \u00dcbelt\u00e4ter weiterhin das L\u00f6segeld fordern, als ob nichts passiert w\u00e4re.<\/p>\n

Wie Domain-Registrierung eine Infektion verhindert und warum die Epidemie wahrscheinlich noch nicht vorbei ist<\/h2>\n

Interessanterweise hat ein Forscher unter dem Namen Malwaretech es geschafft, eine <\/a>Infektion zu verhindern<\/a>, indem er eine Domain registriert hat, die online einen langen und unsinnigen Namen tr\u00e4gt.<\/p>\n

Es kam heraus, dass manche Versionen von WannaCry diese Domain adressiert haben und wenn sie keine positive Antwort erhielten, installierten sie das Verschl\u00fcsselungsprogramm, um ihr schmutziges Gesch\u00e4ft zu starten. Wenn es eine Antwort gab (d.h. die Domain wurde registriert), stoppte die Malware alle ihre Aktivit\u00e4ten.<\/p>\n

Nachdem er die Referenz zu dieser Domain in dem Code des Trojaners entdeckte, registrierte der Forscher diese Domain und unterbrach den Angriff. Den restlichen Tag lang wurde die Domain tausende von Malen adressiert, was hei\u00dft, dass tausende von Computern vor einer Infektion gerettet worden sind.<\/p>\n

Es gibt eine Theorie, die besagt, dass diese Funktion in WannaCry wie ein Schutzschalter eingebettet wurde, f\u00fcr den Fall, dass etwas schief geht. Eine weitere Theorie, an der von dem Forscher selbst festgehalten wird, sagt aus, dass dies ein Weg ist, um die Analyse des Verhaltens der Malware schwieriger zu gestalten. In Testumgebungen, die in der Forschung genutzt wurden, wird es oft absichtlich so gemacht, dass positive R\u00fcckmeldungen von irgendeiner<\/em> Domain kommen und der Trojaner in diesen F\u00e4llen in der Testumgebung nichts macht.<\/p>\n

Bedauerlicherweise reicht es f\u00fcr neue Versionen des Trojaners aus, dass die \u00dcbelt\u00e4ter den Domain-Namen \u00e4ndern, der als Schutzschalter fungierte, um die Infektion wieder aufzunehmen. Deshalb ist es sehr gut m\u00f6glich, dass der erste Tag der WannaCry Epidemie nicht der letzte sein wird.<\/p>\n

Wie man sich gegen WannaCry sch\u00fctzt<\/h2>\n

Leider gibt es momentan nichts, das man tun k\u00f6nnte, um die Dateien zu entschl\u00fcsseln, die durch WannaCry verschl\u00fcsselt wurden (unsere Forscher sind aber dran). Dies bedeutet, dass die einzige Methode, um gegen die Infektion zu k\u00e4mpfen, darin besteht sich nicht zu infizieren.<\/p>\n

Hier sind ein paar Tipps dazu, wie man sich vor einer Infektion sch\u00fctzen kann und wie man den Schaden minimieren kann.<\/p>\n