Änderungen

'''WannaCry''' ist ein sog. Verschlüsselungs-Trojaner ([[Ransomware]]), der sich als [[Wurm]] von befallenen Systemen aus über eine Sicherheitslücke in Windows Dateifreigaben (SMB) verbreitet. Die Sicherheitslücke wurde durch einen die [[Exploit|Exploits]] namens '''[https://isc.sans.edu/forums/diary/ETERNALBLUE+Windows+SMBv1+Exploit+Patched/22304/ EternalBlue]'''und '' bekannt'[https://isc.sans.edu/forums/diary/Detecting+SMB+Covert+Channel+Double+Pulsar/22312 DoublePulsar]''' möglich, den die die Crackergruppe ''[https://twitter.com/shadowbrokerss?lang=de Shadow Brokers]'' veröffentlicht hatte hatten und der die vermutlich aus dem Arsenal der NSA stammt. Die Sicherheitslücke wurde von Microsoft bereits im März 2017 geschlossen. Viele Systeme wurden dennoch von den Administatoren nicht aktualisiert, was zu der großen Ausbreitung der Infektion führte, denn wenn ein Rechner in einem lokalen Netz mit '''WannaCry''' infiziert ist, versucht er, andere Windows-Systeme im Netzwerk zu finden, die für '''EternalBlue''' anfällig sind. Mit '''KB4012598''' bringt des amerikanischen Geheimdienstes [https://blogswww.technetnsa.microsoft.comgov/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ Microsoft einen Notfall-Patch gegen den Verschlüsselungstrojaner WannaCryNSA] für alle Windows-Systeme, auch für jene, die regulär nicht mehr gepatcht werdenstammen.

Die Sicherheitslücke bzgl. der Dateifreigaben (SMB) wurde von Microsoft bereits im März 2017 geschlossen. Viele Systeme wurden dennoch von den Administatoren nicht aktualisiert, was zu der großen Ausbreitung der Infektion führte, denn wenn ein Rechner in einem lokalen Netz mit '''WannaCry''' infiziert ist, versucht er, andere Windows-Systeme im Netzwerk zu finden, die für '''EternalBlue''' anfällig sind. Anschließend wird mit '''DoublePulsar''' eine [[Backdoor]] installiert.  Mit '''KB4012598''' bringt [https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ Microsoft einen Notfall-Patch gegen den Verschlüsselungstrojaner WannaCry] für alle Windows-Systeme, auch für jene, die regulär nicht mehr gepatcht werden. * Technische Details zu WannaCry hat [https://www.bleepingcomputer.com/news/security/wannacry-wana-decryptor-wanacrypt0r-info-and-technical-nose-dive/ Bleeping Computer in diesem Artikel zusammengefasst]. * Cyberschutzraum hat auf Youtube dieses [https://www.youtube.com/watch?v=io4GLt0wmII WannaCry erklärende Video] veröffentlicht.

{| style="border:4px solid #f95a29; background-color:#eaf3f8; width:90%; cellpadding:10px; text-align:left; margin-right:10px;"| Um sich vor ähnlichen Vorfällen in Zukunft besser zu schützen, sollte man die automatische Update-Funktion im Betriebssystem aktivieren, und zudem [[Daten sichern|regelmäßig Backups]] anlegen. Diese helfen bei einer Ransomware-Infektion, das eigene System ohne gravierenden Datenverlust wiederherzustellen. Dabei sollten die Backup-Daten getrennt bzw. geschützt vom eigentlichen System gespeichert werden, da sich Erpressungstrojaner wie WannaCry auch auf weiteren Geräten im Netzwerk verbreiten und diese ebenfalls verschlüsseln. Neben Backups und Updates sollten Unternehmen zudem auf ein professionelles Sicherheitspaket setzen, aber auch weiterhin und regelmäßig die eigenen Mitarbeiter gegenüber solchen Bedrohungen sensibilisieren. Auch im Fall von WannaCry waren E-Mails mit schädlichem Anhang der Auslöser vieler Infektionen.<br />|}

'''Update 16.05.2017:''' Laut BleepingComputer scheint es inzwischen eine [https://www.bleepingcomputer.com/news/security/someone-created-a-wannacry-version-that-doesnt-use-a-kill-switch/ neuere Version von WannaCry] zu geben, die den durch Zufall vom [https://twitter.com/malwrhunterteam/ MalwareHunterTeam] entdeckten KillSwitch, durch welche die Verbreitung zunächst gestoppt werden konnte, nicht mehr enthält. Die Infektionswelle wird also weiter rollen.  '''Update 18.05.2017:'''=== Machen Anti-Ransom-Programme Sinn? === Nach der Angriffswelle von WannaCry werden unsere Experten häufig gefragt, ob Anti-Ransom-Programme eine Infektion verhindern können. Die Antwort ist jein. Anti-Ransomprogramme erkennen bekannte Infektionen und die erkennen Antiviren-Programme in der Regel auch. Manche Anti-Ransomprogramme platzieren zusätzlich bestimmte Junk-Dateien und überwachen diese dann. Wird der PC von Ransomware angegriffen und eine der platzierten Dateien verschlüsselt, meldet das das Programm. Erforderlich ist dann ein manuelles Eingreifen, um die Infektion zu stoppen. Bis zum Eingreifen können allerdings schon eine Menge Dateien verschlüsselt sein. Wenn man bei der Meldung des Angriffes gerade nicht vor dem Computer sitzt, hat man schlechte Karten.  '''Fazit:''' Besser als sich auf Anti-Ransomprogramme zu verlassen ist es, das Betriebssystem und die Antiviren-Software immer auf dem neuesten Stand zu halten und regelmäßig [[Daten sichern|Backups]] wichtiger Daten zu erstellen und diese getrennt vom Computer aufzubewahren. Wenn Sie zusätzlich noch darauf achten, keine E-Mail-Anhänge zu öffnen, sind Sie gut abgesichert.  '''Update 18.05.2017:''' In dem Spiegel-Artikel [http://www.spiegel.de/netzwelt/web/wannacry-cyberangriff-und-nordkorea-spekulationen-wer-war-es-denn-jetzt-a-1148094.html So arbeiten die "WannaCry"-Jäger] setzten sich greifendie Autoren sehr ausführlich damit auseinander, woher WannaCry stammt und wer für die aktuelle Infektionswelle verantwortlich ist.  == <span style="color:#FF7F00">Gute Nachrichten für Betroffene: Bitte kommen Sie der Lösegeldzahlung niemals nach!</span>==<br>Wie bei vielen anderen Ransomware Verschlüsselungs-Trojanern sind Sicherheitsexperten immer bemüht, die Malware auszuhebeln und entsprechende Entschlüsselungs-Tools zeitnah für die Wiederherstellung bereitzustellen.<br><br>&#160;&#160;&#160;&#160;&#160;&#160;&#160;'''"''Die WannaCry Ransomware wurde erfolgreich geknackt, die verschlüsselten Daten können wiederhergestellt werden!'''''<br><br> Konnten anfänglich mit WannaCry verschlüsselte Daten nur auf Windows XP Systemen wiederhergestellt werden, so wurden die Tools inzwischen erfolgreich auf Windows XP bis Windows 7 eingesetzt. Die kostenfreien Tools können zu erfolgreichen Wiederherstellung auf Windows XP, Windows 7, Windows Vista, Windows Server 2003 und 2008 eingesetzt werden.<br><br> <span style="color:#FF7F00">'''WannaKey von Adrien Guinets WannaKey'''</span> - '''Download: '''[https://github.com/aguinet/wannakey https://github.com/aguinet/wannakey]<br><br><span style="color:#FF7F00">'''WanaKiwi von Benjamin Delpys'''</span> - '''Download: '''[https://github.com/gentilkiwi/wanakiwi https://github.com/gentilkiwi/wanakiwi] und Youtube: [https://www.youtube.com/watch?v=PGg2th0wSVY https://www.youtube.com/watch?v=PGg2th0wSVY]<br><br> &#160;&#160;&#160;&#160;&#160;&#160;&#160;'''"''Ist Ihr Rechner von einem Erpressungs-Trojaner gesperrt und die Daten verschlüsselt, können die Infektion aber nicht einordnen, lesen sie bitte [https://blog.botfrei.de/2016/04/web-seite-id-ransomware/ hier>>]'''''