WannaCrypt0r, WannaCry

WannaCrypt0r: Eine Ransomware geht um die Welt

Ransomware-Angriffe überraschen die Welt auch weiterhin, wie die aktuellste, sich wie ein Waldbrand verbreitende WannaCrpytor-Ransomware (auch bekannt als WannaCrypt, WannaCry oder WCry) in einem ziemlich traurigen Szenario, das tausende und abertausende von Nutzern, Firmen und selbst Krankenhäuser betraf, zeigte. Obwohl wir Sicherheitsexperten bei diesem Thema immer zu besonderer Vorsicht raten, scheint die Denkweise, dass solche Dinge nur anderen passieren, bequemer zu sein. Man geht schnell zur Tagesordnung über.

Diese Ransomware-Angriffe sind unangenehm und enorm. Seit langem wird schon erwartet, dass sie in ihrer Häufigkeit und Intensität weiter zunehmen. Wir beobachten zurzeit, dass eine ganze Branche der Cyber-Kriminalität auf diesen Angriffstyp setzt. Schließlich können von den Opfern Millionen von Dollar mit wenig Aufwand erpresst werden.

Was ist Ransomware?

Es gibt zwei Arten von Ransomware: Crypto-Ransomware, die Ihre Dateien verschlüsselt (und unlesbar macht) und Ransomware, die den Startbildschirm sperrt. In beiden Fällen verlangen die Autoren der Schadsoftware ein „Lösegeld“ von ihren Opfern, damit letztere wieder Zugriff auf ihre Dateien und Geräte haben.

Ransomware bzw. Erpressungssoftware wird meistens per E-Mail verbreitet. Dazu sendet der Cyberkriminelle eine E-Mail mit einem Anhang. Der nichtsahnende Nutzer öffnet dieses Dokument (oder eine JavaScript-Datei), deren Inhalt allerdings keinen Sinn ergibt und Kauderwelsch enthält. Der Nutzer erhält dann die Nachricht, dass Makros aktiviert werden müssen, um den Inhalt korrekt anzuzeigen. Allerdings wurde die Datei absichtlich unleserlich präpariert. Denn erst durch das Aktivieren von Makros wird die Ransomware über einen Drive-by-Download unbemerkt auf den Computer heruntergeladen.

Was ist so besonders an WannaCrypt0r?

Es ist die Art und Weise, wie sich die Ransomware verbreitet: nämlich mehr wie ein Wurm als wie „normale“ Ransomware. Das bedeutet, dass sie, sobald sie erst einmal auf einem PC Fuß gefasst hat, versuchen wird, sich über das Ausnutzen von unentdeckten Exploits und nicht gepatchten Sicherheitslücken, weiter zu verbreiten. Im Fall von WannaCrypt0r heißt die Sicherheitslücke EternalBlue – und gehört zu den Exploits, die vor kurzem in den von Shadow Brokers durchgesickerten NSA-Tool-Archiven enthalten waren. Die Ironie an der Geschichte: Bereits seit März gibt es für betroffene Windows-Systeme einen Patch von Microsoft. Dieses Paradebeispiel zeigt sehr deutlich, wie selten sowohl individuelle Nutzer als auch große Firmen ihre Systeme aktualisieren. Nach dem Angriff veröffentlichte Microsoft sogar Patches für Windows XP, Windows Server 2008 und weitere Systeme, für die sie schon lange kein Support mehr anbieten – die aber immer noch verwendet werden.

„Ich kann es nicht oft genug betonen, wie wichtig es ist, das eigene System auf dem neusten Stand zu halten“, sagt Oscar Anduiza, Malware-Analyst bei Avira. „In einer perfekten Welt hätte jeder Nutzer diesen Patch bereits installiert und eine Attacke wie diese wäre undenkbar gewesen.“ Sollten Sie es also noch nicht getan haben, aktualisieren Sie Ihr Betriebssystem so schnell wie möglich. Übrigens, mit unserem Software Updater Pro wäre der Patch an seinem Veröffentlichungstag ganz einfach und stressfrei mit nur einem Klick installiert worden – es gibt also wirklich keine Entschuldigung dafür, diese Sicherheitslücke für Angreifer sperrangelweit offen zu lassen.

Wie funktioniert WannaCrypt0r?

Nachdem die Ransomware über den oben genannten Exploit einen Weg auf den PC gefunden hat, wird sie versuchen sich die Erlaubnis einzuholen, sich selbst auszuführen und das System zu verschlüsseln. Der dazu genutzte Befehl lautet “icacls . /grant Everyone:F /T /C /“. Sie geht sogar so weit und beendet alle Datenbanken, die der Nutzer auf seinem PC hat, um diese auch zu verschlüsseln.

Sobald das erledigt ist, sucht sie nach Dateien mit den Endungen “.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc“, etc. und legt eine @Please_Read_Me@.txt-Lösegeldforderung sowie eine Kopie des @WanaDecryptor@.exe-Decryptors in jeden Ordner, in dem sich verschlüsselte Dateien befinden.

Um das Entfernen zu erschweren, stellt WannaCrypt0r sicher, auch alle Schattenkopien zu eliminieren, die Windows Startup Recovery auszuschalten, sowie die Windows Server Backup History zu leeren. Hier kommt nun der Nutzer ins Spiel, denn um die dafür benötigten Kommandozeilenparameter ausführen zu können, braucht die Ransomware die explizite Erlaubnis des Anwenders. Das heißt, der Nutzer wird eine UAC-Aufforderung aufpoppen sehen, die er annehmen muss. Wenn er das nicht tut, gibt es immer noch eine Chance, das System wieder herzustellen. Nimmt er sie jedoch an, gibt es kein Zurück mehr: WannaCrypt0r wird den Befehl “cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet” ausführen und, nachdem die Schattenkopie entfernt wurde, den typischen Ransomware-Bildschirm anzeigen.

Avira bietet Sicherheit für den PC

Während wir die Details der WannaCrypt0r-Attacke weiterhin untersuchen – ein Malware-Analyst schläft schließlich nie – können wir an dieser Stelle bestätigen, dass unsere Software die Ransomware bereits erkennt und Sie davor schützt. Varianten davon wurden von unseren Scans schon vor zwei Monaten entdeckt.

Doch egal ob Ransomware, Phishing, oder Privatsphäre, heutzutage gibt es kaum noch eine Entschuldigung, Opfer von Cyberkriminalität zu werden. Unser 360°-Sicherheitsportfolio bietet eine Lösung für jeden Fall und kann die meisten Gefahren im Vorfeld eliminieren.

Seien Sie einen Schritt voraus

Unser Software Updater Pro, der Scout Browser, Phantom VPN Pro und der Avira Passwort Manager sind perfekt, um Angriffe bereits im Vorfeld zu verhindern. Während der Software Updater sicherstellt, dass Sicherheitslücken geschlossen werden sobald ein Patch zur Verfügung steht, stellen der Scout Browser, VPN und Passwort Manager sicher, dass Ihre Daten nicht in die falschen Hände fallen. Opfer von Malware und Phishing-Kampagnen zu werden ist so viel schwerer.

Entdecken Sie Gefahren, bevor diese Wurzeln schlagen können

Unser preisgekröntes Avira Antivirus Pro schützt Sie vor allen Gefahren – sei es ein normaler Computervirus, Würmer, Malware oder Ransomware.

Ordnung muss sein

Als ob das noch nicht genug ist, stellt System Speedup sicher, dass Ihr PC optimiert ist und behebt Fehler, stellt Einstellungen perfekt ein und reinigt Ihre Windows-Registry – alles mit nur einem Klick.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

Avira ist mit rund 100 Millionen Kunden und 500 Mitarbeitern ein weltweit führender Anbieter selbst entwickelter Sicherheitslösungen für den professionellen und privaten Einsatz. Das Unternehmen gehört mit mehr als 25-jähriger Erfahrung zu den Pionieren in diesem Bereich.