WannaCry: Sind Sie sicher?

Was macht das sich selbst reproduzierende Verschlüsselungsprogramm WannaCry so gefährlich und wie man einer Infektion vorbeugt.

Vor ein paar Tagen brach eine Epidemie des trojanischen Verschlüsselungsprogramms WannaCry aus. Es scheint, dass die Epidemie global ist. Wir nennen es eine Epidemie auf Grund ihres Ausmaßes. Wir haben über 45.000 Angriffsfälle an nur einem Tag gezählt. In Wirklichkeit ist diese Zahl viel höher.

Was ist passiert?

Viele größere Organisationen haben gleichzeitig eine Infektion gemeldet. Unter diesen Organisationen befanden sich verschiedene britische Krankenhäuser, die ihre Tätigkeiten niederlegen mussten. Laut der Daten, die von Dritten veröffentlicht wurden, hat WannaCry mehr als 100.000 Computer infiziert. Deshalb hat es so viel Aufmerksamkeit auf sich gezogen.

Die größte Anzahl an Angriffen vollzogen sich in Russland, aber die Ukraine, Indien und Taiwan haben auch Schäden durch WannaCry davon getragen. Alles in allem haben wir WannaCry in 74 Ländern entdeckt. Dies passierte schon am ersten Tag des Angriffs.

Was ist WannaCry?

Allgemein besteht WannaCry aus zwei Teilen. Zunächst ist es ein Exploit, dessen Ziel es ist, zu infizieren und sich auszubreiten. Der zweite Teil ist ein Verschlüsselungsprogramm, das auf den Computer heruntergeladen wird, nachdem dieser infiziert worden ist.

Das ist der hauptsächliche Unterschied zwischen WannaCry und den meisten anderen Verschlüsselungsprogrammen. Um einen Computer mit einem herkömmlichen Verschlüsselungsprogramm zu infizieren, muss ein Nutzer einen Fehler machen, zum Beispiel indem er auf einen verdächtigen Link klickt oder Word erlaubt, ein bösartiges Macro zu starten, oder einen verdächtigen Anhang von einer E-Mail Nachricht herunterlädt. Ein System kann durch WannaCry infiziert werden, ohne dass irgendetwas getan wird.

WannaCry: Exploit und Ausbreitung

Die Erfinder von WannaCry haben den Windows-Exploit „EternalBlue“ ausgenutzt, der eine Schwachstelle verwendet, die Microsoft im Sicherheitsupdate MS17-010 vom 14. März diesen Jahres geflickt hatte. Durch die Nutzung dieses Exploits konnten die Übeltäter einen Fernzugriff auf Computer erhalten und das Verschlüsselungsprogramm installieren.

Wenn Sie das Update installiert haben und diese Schwachstelle nicht länger existiert, werden alle Versuche den Computer zu hacken zwecklos sein. Dennoch möchten die Forscher vom Kaspersky Lab GReAT (Global Research & Analysis Team) klarstellen, dass das Flicken der Schwachstelle das Verschlüsselungsprogramm nicht davon abhalten wird, zu agieren. Deshalb wird Ihnen das Patch nicht helfen, wenn Sie das Verschlüsselungsprogramm irgendwie starten (siehe oben unter einen Fehler machen).

Nachdem ein Computer erfolgreich gehackt worden ist, wird WannaCry versuchen, sich selbst über das lokale Netzwerk auf andere Computer wie ein Wurm auszubreiten. Das Verschlüsselungsprogramm scannt andere Computer auf dieselbe Schwachstelle, die durch EternalBlue ausgenutzt werden kann, und wenn WannaCry eine angreifbare Maschine findet, greift es an und verschlüsselt die Dateien darauf.

Es kommt heraus, dass WannaCry durch die Infektion von einem Computer ein ganzes lokales Netzwerk infizieren und alle Computer dieses Netzwerks verschlüsseln kann. Deshalb litten größere Unternehmen am meisten unter dem WannaCry Angriff – umso mehr Computer in dem Netzwerk sind, umso größer ist der Schaden.

WannaCry: Verschlüsselungsprogramm

Als Verschlüsselungsprogramm tut WannaCry (manchmal auch WCrypt oder WannaCry Decodierer genannt, auch wenn es logischerweise ein Verschlüsselungsprogramm und kein Decodierer ist) dasselbe wie andere Verschlüsselungsprogramme: Es verschlüsselt Dateien auf einem Computer und verlangt ein Lösegeld, um diese zu entschlüsseln. Es kommt einer Variation des berüchtigten CryptXXX Trojaners sehr nahe.

WannaCry verschlüsselt Dateien verschiedener Art (die ganze Liste ist hier), welche natürlich Office-Dokumente, Bilder, Videos, Archive und andere Formate miteinschließt, die potenziell kritische Nutzerdaten enthalten können. Die Erweiterungen der verschlüsselten Dateien wurden zu .WCRY umbenannt (also, der Name des Verschlüsselungsprogramms) und die Dateien werden vollkommen unzugänglich.

Danach ändert der Trojaner das Desktop-Hintergrundbild zu einem Bild, das Informationen über die Infizierung beinhaltet und die Maßnahmen, die der Nutzer treffen soll, um die Dateien wiederherzustellen. WannaCry verbreitet Benachrichtigungen als Textdateien mit derselben Information über Dateien auf dem Computer, um sicherzustellen, dass der Nutzer tatsächlich die Nachricht erhält.

Wie üblich läuft alles darauf hinaus, dass man eine bestimmte Menge an Bitcoins zu Gunsten der Übeltäter überweisen soll. Danach werden sie wahrscheinlich alle Dateien entschlüsseln. Anfänglich verlangten die Cyber-Kriminellen 300 US-Dollar, aber dann entschieden sie sich dafür den Einsatz zu erhöhen: Die letzten WannaCry Versionen verlangen ein Lösegeld über 600 US-Dollar.

Übeltäter schüchtern die Nutzer außerdem dadurch ein, dass sie angeben, dass das Lösegeld innerhalb von 3 Tagen erhöht würde und dass es außerdem unmöglich sein wird, die Dateien in 7 Tagen zu entschlüsseln. Wir empfehlen es nicht, das Lösegeld an die Übeltäter zu bezahlen, da niemand garantieren kann, dass sie Ihre Dateien entschlüsseln werden, nachdem sie das Lösegeld erhalten haben. Als Tatsache gilt, dass Forscher gezeigt haben, dass andere Cyber-Erpresser manchmal einfach Nutzerdaten löschen, was heißt dass es keine physische

Möglichkeit gibt, die Dateien zu entschlüsseln, und die Übeltäter weiterhin das Lösegeld fordern, als ob nichts passiert wäre.

Wie Domain-Registrierung eine Infektion verhindert und warum die Epidemie wahrscheinlich noch nicht vorbei ist

Interessanterweise hat ein Forscher unter dem Namen Malwaretech es geschafft, eine Infektion zu verhindern, indem er eine Domain registriert hat, die online einen langen und unsinnigen Namen trägt.

Es kam heraus, dass manche Versionen von WannaCry diese Domain adressiert haben und wenn sie keine positive Antwort erhielten, installierten sie das Verschlüsselungsprogramm, um ihr schmutziges Geschäft zu starten. Wenn es eine Antwort gab (d.h. die Domain wurde registriert), stoppte die Malware alle ihre Aktivitäten.

Nachdem er die Referenz zu dieser Domain in dem Code des Trojaners entdeckte, registrierte der Forscher diese Domain und unterbrach den Angriff. Den restlichen Tag lang wurde die Domain tausende von Malen adressiert, was heißt, dass tausende von Computern vor einer Infektion gerettet worden sind.

Es gibt eine Theorie, die besagt, dass diese Funktion in WannaCry wie ein Schutzschalter eingebettet wurde, für den Fall, dass etwas schief geht. Eine weitere Theorie, an der von dem Forscher selbst festgehalten wird, sagt aus, dass dies ein Weg ist, um die Analyse des Verhaltens der Malware schwieriger zu gestalten. In Testumgebungen, die in der Forschung genutzt wurden, wird es oft absichtlich so gemacht, dass positive Rückmeldungen von irgendeiner Domain kommen und der Trojaner in diesen Fällen in der Testumgebung nichts macht.

Bedauerlicherweise reicht es für neue Versionen des Trojaners aus, dass die Übeltäter den Domain-Namen ändern, der als Schutzschalter fungierte, um die Infektion wieder aufzunehmen. Deshalb ist es sehr gut möglich, dass der erste Tag der WannaCry Epidemie nicht der letzte sein wird.

Wie man sich gegen WannaCry schützt

Leider gibt es momentan nichts, das man tun könnte, um die Dateien zu entschlüsseln, die durch WannaCry verschlüsselt wurden (unsere Forscher sind aber dran). Dies bedeutet, dass die einzige Methode, um gegen die Infektion zu kämpfen, darin besteht sich nicht zu infizieren.

Hier sind ein paar Tipps dazu, wie man sich vor einer Infektion schützen kann und wie man den Schaden minimieren kann.

  • Wenn Sie bereits die Kaspersky Lab Security Lösung auf ihrem System installiert haben, empfehlen wir Ihnen das Folgende zu tun: Führen Sie manuell einen Scan auf kritische Bereiche aus und wenn die Lösung eine Malware wie MEM:Win64.EquationDrug.gen identifiziert (so erkennt unsere Anti-Virus Lösung WannaCry), sollten sie ihr System neu starten.
  • Wenn Sie unser Kunde sind, lassen sie den System Watcher eingeschaltet, er ist grundlegend, um neue Varianten der Malware zu bekämpfen, die vielleicht noch erscheinen.
  • Installieren Sie Software-Updates. Dieser Fall ruft ernsthaft dazu auf, das Systemsicherheitsupdate MS17-010 für alle Windows-Nutzer zu installieren. Vor allem, wenn Microsoft es auch für Systeme veröffentlicht hat, die offiziell gar nicht mehr unterstützt werden wie Windows XP oder Windows 2003. Ernsthaft, installieren Sie es jetzt. Jetzt ist es wirklich wichtig.
  • Erstellen Sie Datei-Backup-Kopien regelmäßig und speichern Sie diese Kopien auf einem Speichergerät, das nicht dauernd mit dem Computer verbunden ist. Wenn es eine kürzlich erstellte Backup-Kopie gibt, dann ist die Infizierung mit dem Verschlüsselungsprogramm keine Katastrophe, aber ein Verlust von mehreren Stunden, die damit verbracht werden, das System wieder zu installieren. Wenn Ihnen nicht danach ist, das Backup selbst zu erstellen, dann können sie den Vorteil der Backup-Funktion von Kaspersky Premium nutzen, die den Prozess automatisieren kann.
  • Nutzen Sie einen verlässlichen Anti-Viren-Schutz. Kaspersky Plus kann WannaCry sowohl lokal als auch über die Ausbreitung durch ein Netzwerk identifizieren. Außerdem hat System Watcher, ein eingebautes Modul, die Funktion ungewollte Änderungen zurück zu nehmen, was bedeutet, dass es Datei-Verschlüsselungen vorbeugen wird, auch für jene Malware Versionen, die noch nicht in den Anti-Viren-Datenbanken auftauchen.
Tipps