Wannacry Ransomware-Angriff: 3 wichtige Dinge zu wissen

Ransomware-Angriffe mit dem Namen WannaCry wurden am Freitag von Cyber-Sicherheitsexperten weltweit gemeldet. Mehrere Warnungen deuten auf erhöhte Sicherheitsmaßnahmen für über das Internet verbundene Geräte hin, da diese Woche eine zweite Welle von Angriffen erwartet wird.

Die Ransomware-Angriffe - ein jahrzehntealter Hacker-Trick - haben Russland, die Ukraine, Spanien, Großbritannien und Indien schwer getroffen.

Andere Länder, darunter die USA, Brasilien, China, unter anderem aus Nordamerika, Lateinamerika, Europa und Asien, sind vom Ransomware-Angriff betroffen.

Die Ransomware verschlüsselt Dateien auf einem Gerät mit der Erweiterung '.wcry' und wird über eine SMBv2-Remotecodeausführung (Server Message Block Version 2) gestartet.

Lesen Sie auch: Was ist Ransomware und wie schützt man sich davor? und sind Smartphones anfällig für den WannaCry Ransomware-Angriff?

Das weltweite Forschungs- und Analyseteam von Kaspersky Lab wies darauf hin, dass nicht gepatchte Windows-Computer, auf denen ihre SMB-Dienste verfügbar sind, remote angegriffen werden können.

Es wird berichtet, dass die Hacking-Gruppe Shadow Brokers dafür verantwortlich ist, dass die Malware, mit der dieser Angriff ausgeführt wird, am 14. April im Internet verfügbar ist.

Wie verbreitet ist der Angriff?

Die vollständigen Auswirkungen dieses Angriffs sind noch nicht bekannt, da Cybersicherheitsexperten davon ausgehen, dass weitere Angriffswellen mehr Systeme treffen werden.

Laut einem Bericht der New York Times hat der Angriff die Kontrolle über 200.000 Computer in über 150 Ländern übernommen.

Betroffen waren Unternehmen und Regierungsbehörden, darunter das russische Ministerium, FedEx, die Deutsche Bahn (Deutschland), Telefonica (Spanien), Renault (Frankreich), Qihoo (China) und der britische nationale Gesundheitsdienst.

Das spanische Computer Emergency Response Team (CCN-CERT) hat ebenfalls eine hohe Alarmbereitschaft im Land gefordert, da es besagt, dass Organisationen möglicherweise von der Ransomware betroffen sind.

„Die bösartige WannaCrypt-Software verbreitete sich schnell weltweit und wurde aus den Exploits der NSA in den USA abgeleitet. Microsoft hatte ein Sicherheitsupdate veröffentlicht, um diese Sicherheitsanfälligkeit zu beheben, aber viele Computer waren global nicht gepatcht “, erklärte Microsoft.

Folgende Software war bisher betroffen:

• Windows Server 2008 für 32-Bit-Systeme
• Windows Server 2008 für 32-Bit-Systeme Service Pack 2
• Windows Server 2008 für Itanium-basierte Systeme
• Windows Server 2008 für Itanium-basierte Systeme Service Pack 2
• Windows Server 2008 für x64-basierte Systeme
• Windows Server 2008 für x64-basierte Systeme Service Pack 2
• Windows Vista
• Windows Vista Service Pack 1
• Windows Vista Service Pack 2
• Windows Vista x64 Edition
• Service Pack 1 für Windows Vista x64 Edition
• Windows Vista x64 Edition Service Pack 2
• Windows 7
• Windows 8.1
• Windows RT 8.1
• Windows Server 2012 und R2
• Windows 10
• Windows Server 2016

Wie wirkt es sich auf die Systeme aus?

Die Malware verschlüsselt Dateien mit Office-Erweiterungen, Archiven, Mediendateien, E-Mail-Datenbanken und -E-Mails, Entwicklerquellcode und Projektdateien, Grafik- und Bilddateien und vielem mehr.

Neben der Malware ist auch ein Entschlüsselungstool installiert, mit dessen Hilfe das in Bitcoins geforderte Lösegeld in Höhe von 300 US-Dollar verdient und die Dateien nach Zahlungseingang entschlüsselt werden können.

Das Entschlüsselungstool führt zwei Countdown-Timer aus - einen 3-Tage-Timer, nach dem das Lösegeld erhöht wird, und einen 7-Tage-Timer, der die verbleibende Zeit angibt, bevor die Dateien für immer verloren gehen.

Angesichts der Fähigkeit des Softwaretools, seinen Text in mehrere Sprachen zu übersetzen, ist es offensichtlich, dass der Angriff global ausgerichtet ist.

Um sicherzustellen, dass das Entschlüsselungstool vom Benutzer gefunden wird, ändert die Malware auch das Hintergrundbild des betroffenen PCs.

Wie bleiben Sie sicher?

• Stellen Sie sicher, dass die Datenbank Ihrer Antivirensoftware aktualisiert ist und Ihr System in Echtzeit geschützt wird, und führen Sie einen Scan durch.
• Wenn die Malware Trojan.Win64.EquationDrug.gen erkannt wird, stellen Sie sicher, dass sie unter Quarantäne gestellt und gelöscht wird, und starten Sie das System neu.
• Wenn Sie dies noch nicht getan haben, wird empfohlen, den offiziellen Microsoft-Patch MS17-010 zu installieren, mit dem die SMB-Sicherheitsanfälligkeit, die bei dem Angriff ausgenutzt wird, verringert wird.
• Sie können das SMB auf Ihrem Computer auch mithilfe dieses Handbuchs von Microsoft deaktivieren.
• Unternehmen können die Kommunikationsports 137 und 138 UDP und die Ports 139 und 445 TCP isolieren.

Systeme mit Sitz in den USA wurden versehentlich gesichert

Ein 22-jähriger britischer Sicherheitsforscher hat versehentlich die Verbreitung von Malware in Netzwerken in den USA eingestellt, als er die noch nicht registrierte Kill-Switch-Domain der Malware kaufte.

Sobald die Site in Betrieb war, wurde der Angriff eingestellt. Sie können seinen vollständigen Bericht hier darüber lesen, wie er den Kill-Schalter für die Malware enthüllt und schließlich heruntergefahren hat.

Lesen Sie auch: Diese kritische Sicherheitslücke für Android wurde von Google nicht behoben.

„Es gibt bereits eine andere Variante der Ransomware, die keinen Kill-Schalter hat, was die Eindämmung erschwert. Es hat bereits begonnen, Länder in Europa zu infizieren “, sagte Sharda Tickoo, technische Leiterin von Trend Micro India.

Es ist immer noch unklar, wer für den Angriff verantwortlich ist und Spekulationen haben auf Shadow Brokers - die auch für die Freigabe der Malware im Internet verantwortlich sind - oder mehrere Hacking-Organisationen hingewiesen.

Sehen Sie sich unten das Video von GT Hindi zu Wannacry / Wannacrypt Ransomware an.