Wir sind Nummer 1 in Europa mit über 300 Repairshops!
Bestes Testergebnis beim WISO Handyreparatur-Test

Wie funktioniert Wcry/WannaCry, die Ransomware, die weltweit Rechner lahm legt?

Phone Service Center / 15.5.2017
Am Freitag vergangene Woche legte ein Kryprotrojaner zahlreiche Krankenhäuser in England lahm. Auf die IT der Krankenhäuser konnte nicht mehr zugegriffen werden. Sicherheitshalber wurden sämtliche Rechner heruntergefahren. Zwischenzeitlich wurden Patienten sogar gebeten sich nicht in der Notaufnahme zu melden, sondern im Notfall die Notrufnummer zu wählen. Der Nationale Gesundheitsdienst in England gab anschließend bekannt, dass es sich um keinen gezielten Angriff gehandelt habe. Man sprach von einem „mutmaßlich internationalen Cyberangriff“. Nachdem ähnliche Meldungen aus Spanien, den USA, Deutschland, Russland, Asien und anderen Ländern bekannt wurden, war klar, dass der Angriff auf die englischen Krankenhäuser nur der Anfang einer immensen Hackerattacke war.

Ransomeware, auch genannt Kryptotrojaner oder Erpressungstrojaner, sind Schadsoftware mit deren Hilfe der Zugriff auf die Daten, deren Nutzung oder sogar auf das ganze Computersystem durch den Computernutzer verhindert wird. Die Ransomeware bietet dem Nutzer die Freigabe der Daten durch die Zahlung eines „Lösegeldes“ (eng. ransom). Auf den Bildschirmen der Krankenhäuser in England war eine Bitcoin-Adresse zu erkennen, an welche die Betroffenen Nutzer Kryptogeld in Höhe von 300 US-Dollar senden sollten. Ob die Angreifer die Daten tatsächlich wieder freigeben würden, ist unklar. Nach jetzigem Stand ist die Ransomware Wana Decrypt0r 2.0, auch genannt WannaCry.

Nach Angaben von Reuters war in Spanien der bekannte Telekommunikationskonzern Telefonica betroffen. Andere Unternehmen wie Iberdrola und Gas Natural trafen Vorsichtsmaßnahmen gegen die Ransomware. Weltweit wurden Zehntausende Computer unterschiedlicher Behörden, Unternehmen aber auch von Verbrauchern blockiert. Die Antiviren-Firma Avast zählte 75.000 Angriffe in 99 Ländern. Vor allem betroffen war scheinbar das russische Innenministerium mit 1.000 befallenen Rechnern. In Schweden waren die Computer einer Gemeindeverwaltung betroffen, in Portugal unter anderem der Konzern Portugal Telecom. Auch das US-Logistikunternehmen FedEx hatte Ausfälle durch den Cyberangriff. Kunden der Bank Millennium BCP konnten stundenlang nicht auf ihre Konten zugreifen.

Doch auch vor Deutschland machte die Angriffswelle keinen Halt, hier vor allem betroffen: die Deutsche Bahn. Das Fahrgastinformationssystem war durch WannaCry infiziert, wie die Bahn bereits am Samstagmorgen bestätigte. Auf den Anzeigetafeln der Bahnhöfe war der für WannaCry typische Screen zu sehen, der sich bereits vor der Meldung der Bahn auf Twitter und Co verbreitete. Der Bahnverkehr lief jedoch ohne Einschränkungen.

Mittlerweile wurde der Cyberangriff durch Experten gestoppt. Nach eigenen Angaben entdeckten IT-Experten eine Art „Notschalter“, der die weitere Verbreitung der Schadsoftware zunächst verhindert. Da die Ransomware WannaCry hauptsächlich auf einer unregistrierten Domain basiert, haben man diese registriert und die Verbreitung somit vorerst gestoppt. Die Gefahr sei jedoch nicht dauerhaft gebannt. Bereits infizierten Rechner bringt diese Unterbrechung leider nichts mehr. Die Experten raten ausdrücklich zur Schließung von Sicherheitslücken in Computersystemen durch Updates.

Auch wenn sich die Situation global bisher wieder normalisiert hat, empfiehlt Microsoft das Software-Patch vom 14. März 2017 (MS17-010) aufzuspielen. Der User HackerFantastic auf Twitter rät, Computer mit Windows NT4, 2000 und XP-2003 nicht zu nutzen und die Firewall-Ports 445/139 und 3389 zu schließen. Generell ist die Nutzung eines Antiviren-Programms auf allen Rechnern absolut zu empfehlen.

wcrywanacry
Quelle: https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis