Update: Wir haben eine Sonderfolge des F-Secure Safety Casts produziert, in der Rüdiger Trost genauer erklärt, wie WannaCry arbeitet und was hinter der Malware steckt.
Die Sonderfolge ist auch als Audiocast verfügbar:
Was ist passiert?
Am 12. Mai wurden zahlreiche Unternehmen, Behörden und Privatpersonen Opfer einer weltweiten Ransomware-Attacke. Diese Malware trägt den Namen WannaCry oder WannaCrypt0r. Nach der Infektion sucht die Ransomware nach insgesamt 179 Dateitypen und verschlüsselt wichtige Dateien, etwa Office-Dokumente oder Fotos. Die Opfer können für rund 300 US-Dollar einen Entschlüsselungscode kaufen. Dieses Video zeigt, wie WannaCry arbeitet:
Bin ich verwundbar?
Die Schadsoftware attackiert Windows-Systeme und nutzt eine spezielle Lücke – MS17-010 – um sich Zugang zu verschaffen. Diese Lücke wurde im März 2017 im Rahmen des Patch Days geschlossen, allerdings nur für aktuelle Windows-Systeme, also Windows 8.1 aufwärts. Wer sein System auf dem Laufenden hält, ist für die erste Welle nicht verwundbar.
Anders sieht es bei älteren Betriebssystemen wie Windows XP, Windows 8 oder Windows Server 2003. Diese werden eigentlich nicht mehr unterstützt, entsprechend gab es kein Update. Microsoft hat nach der Attacke ein Update erstellt. Wer immer noch diese Betriebssysteme nutzt, sollte den Patch schnellstmöglich installieren.
Wer aktuelle F-Secure Sicherheitsprodukte nutzt, ist vor der Attacke geschützt. Unsere Produkte erkennen die Original-Malware und bekannte Varianten.
Wie infiziert WannaCry seine Opfer?
Die Infektion erfolgt scheinbar per E-Mail oder über den Download einer manipulierten PDF-Datei.
Was ist Ransomware?
Bei Ransomware handelt es sich um eine besonders perfide Schadsoftware. Nach der Infektion durchsucht diese Art von Schadsoftware das System nach wichtigen Informationen, etwa Dokumenten, Präsentationen, Bildern oder Videos. Anschließend verschlüsselt sie gefundene Daten und präsentiert dem Anwender Informationen darüber, wie er seine Dateien frei kaufen kann.
Wie gefährlich ist der Angriff?
Mikko Hyppönen, der Chief Research Officer von bei F-Secure, nennt den Angriff „die größte bekannte Ransomware-Attacke“. Laut Europol hat die Malware über 200 000 Systeme in mehr als 150 Länder infiziert. In Großbritannien legte WannaCry Krankenhäuser lahm, hierzulande erwischte es die Deutsche Bahn. Während wir in Deutschland also relativ glimpflich davongekommen sind, sind die Auswirkungen in England katastrophal wie dieser Tweet zeigt:
We aren't sorted yet, tomorrow's plan.. pic.twitter.com/D59AzY9uJF
— gigi.h (@fendifille) 14. Mai 2017
Die Malware war auch deswegen so erfolgreich, weil sie auf Techniken und Software aus der Werkzeugkiste der NSA zugreifen konnte. Diese Daten wurden kürzlich veröffentlicht, darunter fand sich auch die Sicherheitslücke in Windows, die WannaCry nutzt.
Ich wurde erwischt, wie kann ich meine Daten entschlüsseln?
Zum aktuellen Zeitpunkt (15. Mai) gibt es keinen Decryptor für WannaCry. Entsprechend lassen sich die Dateien (noch) nicht kostenlos entschlüsseln.
Ist die Attacke gestoppt?
Jein. Dem Sicherheitsforscher MalwareTech gelang es, einen sogenannten Kill Switch zu finden. Stark vereinfacht gesagt prüft die Malware, ob bestimmte Domains erreichbar sind. Werden die Anfragen beantwortet, stoppt WannaCry seine Ausbreitung.
Allerdings gibt es bereits neue Varianten sowie Trittbrettfahrer. Der Quelltext der Malware ist im Internet verfügbar, entsprechend dürften weitere Attacken folgen.
Wie schütze ich mich jetzt?
Zunächst sollten alle Updates für das eigene Betriebssystem installiert werden. Das gilt für Windows-Updates ebenso wie für das Flash-Plugin, Java oder sonstige auf dem System installierte Programme. Zusätzlich sollte ein aktuelle Sicherheitssoftware installiert werden, etwa F-Secure SAFE.
Langfristig sollte man wichtige Daten nach der 3-2-1-Methode sichern: Von jeder wichtigen Datei sollte es mindestens drei aktuelle Kopien geben, die auf mindestens zwei verschiedenen Datenträgern gespeichert werden, mindestens eine davon an einem anderen Ort. Eine solche Backup-Strategie schützt die Daten auch dann, wenn eine neue Schadsoftware alle bekannten Schutzmaßnahmen durchbricht.
Ich nutze F-Secure Produkte, bin ich sicher?
Kunden, die ihre Computer mit F-Secure schützen, müssen sich keine Sorgen machen. Dank der Deepguard-Funktion erkennen unsere Produkte verdächtige Programme wie Ransomware und stoppen sie.
Unternehmen können über die Funktion „Software Updater“ dafür sorgen, dass ihre Betriebssysteme und genutzte Produkte immer auf dem aktuellsten Stand sind. Der Software Updater liefert auch einen Patch für die von WannaCry genutzte Sicherheitslücke.
Sollten wieder erwarten alle Schutzmaßnahmen versagen blockiert die Firewall in unseren Schutzprodukten die Ausbreitung im eignen Netzwerk.
Ist WannaCry ein Wurm oder ein Trojaner?
Die Malware ist ein Trojaner, der sich Wurm-gleich weiterverbreitet, sobald er in einem Netzwerk Fuß fassen konnte.
Wie viel haben die Kriminellen verdient?
Dem Erfolg von WannaCry stehen vergleichsweise geringe Einnahmen gegenüber. Aktuell zeigen drei zur Ransomware gehörenden Bitcoin-Adressen ein Transaktionsvolumen von knapp 24,6 Bitcoin, das entspricht beim derzeitigen Kurs knapp 39 000 Euro. Wo immer möglich sollten Opfer nicht zahlen. Insgesamt wirken die Macher vom Erfolg überrascht. Rüdiger Trost sagt dazu im Interview mit Zeit Online: „Die geringen Lösegeldforderungen haben mich stutzig gemacht. Um ihre Daten zurückzubekommen, sind die Betroffenen in einem ersten Schritt aufgefordert worden, 300 Dollar in Bitcoin zu zahlen. Sicher, in diesem Fall macht es die Zahl der Betroffenen und der Betrag hat sich mit der Zeit auch verändert. Doch Ransomware erkennt eigentlich, wie reich ein Unternehmen ist und passt das Lösegeld an. Meiner Einschätzung nach hat der Angreifer nicht damit gerechnet, dass seine Schadsoftware dermaßen durchschlägt.“
Wo finde ich weitere Informationen und Updates?
Wir haben eine spezielle Seite für Ransomware-Bedrohungen eingerichtet, dort werden auch alle neuen Daten zu WannaCry veröffentlicht. Bei neuen Entwicklungen aktualisieren wir auch diesen Blogeintrag.
Zusätzlich haben wir diese weiteren Artikel veröffentlicht:
What you need to know about WannaCry now – Englisch
WannaCry: Der größte Ransomware-Ausbruch aller Zeiten – Deutsch
WCry: Knowns and Unknowns – F-Secure Lab – Englisch
Kategorien