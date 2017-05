Am gestrigen Freitag startete ein Großangriff mit einer neuen Ransomware namens WannaCry. Weltweit fanden sich viele prominente Opfer, darunter die Deutsche Bahn, der spanische Telekommunikationsanbieter Telefonica, britische Krankenhäuser und der US-Lieferdienst FedEx. Inzwischen wurde der Angriff gestoppt und Microsoft hat sogar ein Sicherheits-Update für Windows XP bereitgestellt.

Was macht WannaCry?

Der Schädling WannaCry, auch als WanaCrypt0r 2.0 oder WCry bezeichnet, hatte sich gestern rasant ausgebreitet und weltweit tausende von Windows-Rechnern infiziert. Avast, ein bekannter Hersteller von Anti-Viren-Lösungen, berichtete über 75.000 Infektionen in 99 Ländern. In Russland, der Ukraine und Taiwan war die Schadsoftware besonders aktiv. Die Ransomware verschlüsselt Dateien und versieht diese mit der Endung ".WNCRY". Im Anschluss zeigt Windows einen Erpresserbrief an, in dem die Kriminellen ein Lösegeld in Höhe von 300 US-Dollar verlangen. Die Bezahlung soll - nicht nachverfolgbar - in Bitcoins vorgenommen werden.

Wie kommt WannaCry auf den PC?

Die Ransomware verwendet eine kritische Sicherheitslücke (MS17-010) in SMB (Server Message Block), einem Netzwerkprotokoll, über das diverse Dienste wie Datei- und Druckerzugriffe realisiert werden. Laut Microsoft patzt SMB bei der Verarbeitung speziell gestalteter Mitteilungen, über die Angreifer Schadcode einschleusen und ausführen können. Die Schwachstelle war US-amerikanischen Geheimdiensten über Jahre bekannt, doch Microsoft stolperte erst Anfang 2017 über den Fehler. Damals hatte die Hackergruppe ShadowBrokers diverse Angriffswerzeuge der Geheimdienste im Internet veröffentlicht.

Wie kann man sich schützen?

Microsoft hatte am 14. März 2016 einen Patch für Windows Vista bis 10 sowie Windows Server 2008 bis 2016 veröffentlicht. Wer dieses Sicherheits-Update installiert hat, ist geschützt. Dummerweise sind aber auch Windows XP, Windows 8 und Windows Server 2003 betroffen, die nicht mehr kostenlos mit Sicherheits-Updates versorgt werden. Nur Firmen, die einen teuren Service-Vertrag mit Microsoft schließen, bekommen für diese veralteten Betriebssysteme kritische Flicken. Aufgrund der Tragweite von WannaCry hat Microsoft diesmal eine Ausnahme gemacht und die SMB-Updates für alle Nutzer freigegeben:

Der Notausschalter

Ein unter dem Namen MalwareTech agierender Sicherforscher entdeckte im Code von WannaCry den Domainnamen "drugs-are.reallyreally.fun". Da diese Domain noch nicht existierte, registrierte er sie und stoppte dabei versehendlich die weitere Verbreitung des Schädlings. Dieser hält nämlich Ausschau nach "drugs-are.reallyreally.fun" und deaktiviert sich, wenn die Domain erreichbar ist. Wie MalwareTech twittert, hatte er noch nie 3 US-Dollar so gut investiert.