Am vergangenen Wochenende wurden rund 200'000 Computer in 150 Ländern von Malware befallen. Was genau geschah und was bei Ransomware hilft. PCtipp erklärt.
von Florian Bodoky, dpa,vof 15.05.2017
Bei der Attacke am vergangenen Wochenende sind geschätzte 200'000 Computer in 150 Ländern von der Ransomware WannaCry befallen worden – mit einem Schwerpunkt in Russland, der Ukraine und Taiwan. Die Rechner wurden von sogenannten Erpressungs-Trojanern befallen, die sie verschlüsseln und Lösegeld verlangen. Britische Experten hatten im Code der Schadsoftware eine von den Autoren eingebaute Notbremse gefunden, welche die Ausbreitung des Erpressungs-Trojaners vorerst stoppte.
In Deutschland übernahm das Bundeskriminalamt am Samstag die Ermittlungen, und auch in der Schweiz befasst sich die Melde- und Analysestelle Informationssicherung des Bundes (Melani) mit den Vorfällen. Gemäss Melani-Leiter Pascal Lamia seien auch in der Schweiz Opfer der Attacke zu finden. Anders als in Deutschland, Grossbritannien und anderen westeuropäischen Staaten habe es aber keine schwerwiegenden Vorfälle in öffentlichen Institutionen gegeben. Man geht von circa 200 verseuchten PCs aus. Die Gefahr ist aber trotzdem gross, wie eine Untersuchung von Advact zeigt. Testweise hat man gut 21'000 Angestellten von Unternehmen Ransomware-verseuchte Mails zugesandt. Rund 8,3 Prozent von ihnen haben die Mail samt Attachment geöffnet.
Nach dem Befall mit der Ransomware stehen nun Tausende Unternehmen und Verbraucher vor der bangen Frage, ob sie in Kauf nehmen, dass ihre Daten in wenigen Tagen unwiederbringlich verloren gehen könnten – oder ob sie das geforderte Lösegeld bezahlen. Die Angreifer haben straffe Fristen gesetzt: Jetzt wollen sie 300 US-Dollar für die Entsperrung, ab dem 15. Mai das Doppelte – und am 19. Mai werden alle Daten angeblich gelöscht. In einigen früheren Fällen war es gelungen, den Verschlüsselungsmechanismus der Angreifer auszuhebeln. Diesmal wird das aber allein schon durch die geringe Zeitspanne erschwert.
Neu am Angriff vom Freitag war, dass der Erpressungs-Trojaner von allein neue Computer ansteckte, ohne dass ein Nutzer etwa auf einen präparierten Link klickte. Dadurch konnte sich das Schadprogramm binnen weniger Stunden weltweit ausbreiten und erreichte ein für Lösegeld-Software beispielloses Ausmass.
NSA-Sicherheitslücke verantwortlich – Microsoft-Patch war schon vorhanden
Das wurde erst möglich, weil das Programm laut Experten eine Sicherheitslücke ansteuerte, die ursprünglich der US-Abhördienst NSA für potenzielle Überwachungen gehortet hatte, statt sie Microsoft zu melden. Vor einigen Monaten hatten Hacker sie aber öffentlich gemacht. Microsoft hatte zwar schon Anfang des Jahres ein Update veröffentlicht, das die Schwachstelle schloss – aber jetzt traf es die Computer, auf denen das Update noch nicht installiert wurde. Nach der Attacke stellte der Konzern schnell auch ein Update fürs veraltete Windows XP bereit, das eigentlich nicht mehr gewartet wird. Die Attacke traf laut Experten viele XP-Rechner.
Am Freitag hatten die Folgen der Attacke viel Aufsehen erregt. In Grossbritannien wurden Spitäler lahmgelegt, in Spanien war der Telekom-Konzern Telefónica betroffen und in den USA der Versanddienst FedEx. Renault stoppte am Samstag die Produktion in mehreren französischen Werken, um die Ausbreitung der Schadsoftware zu verhindern, wie es hiess.
Die europäische Ermittlungsbehörde Europol sprach von einem beispiellosen Ausmass der Attacke und regte ein internationales Vorgehen der Behörden an, um die Hintermänner zu finden.
Quelle: WannaCry: Was ist passiert? Was kann ich tun? - PCtipp.ch
WannaCry: Bezahlen des Lösegeldes oft zwecklos
Wer der Erpressung nachgibt und die geforderte Summe bezahlt, bekommt seine Daten nicht zurück, so meldete ein Sicherheitsunternehmen.
von Gaby Salvisberg 15.05.2017 (Letztes Update: 16.05.2017)
Bei Ransomware hat man es mit Kriminellen zu tun. Wer Lösegeld bezahlt, kann nie wissen, wie es um die «Geschäftsethik» der Gauner steht. Werden sie den Schlüssel zum Auslösen der verschlüsselten Daten herausgeben oder nicht?
Im Fall des Ransomwareangriffes mit WannaCry scheint die Sache klar: Diese Cyberkriminellen sind gar nicht in der Lage, den individuellen Betroffenen einen Schlüssel zu liefern. Eine Bezahlung von Lösegeld ist also komplett sinnlos. So jedenfalls meldet es Sicherheitsunternehmen Check Point.
Im firmeneigenen Blog begründen die Check Point «Threat Intelligence and Malware Research Teams» ihre Einschätzungen wie folgt. Die WannaCry-Gauner verwenden drei Bitcoin-Konten zum Einsammeln ihres Lösegeldes. Anders als manche anderen Ransomware-Angreifer hätten es die WannaCry-Macher versäumt, individuelle IDs zu verwenden, um die Zahlungen zuordnen zu können. Es sei jenen deshalb aus technischer Sicht überhaupt nicht möglich zu eruieren, von welchen Erpressungsopfern Zahlungen eingegangen seien – und wohin sie die Entschlüsselungsinstruktionen senden sollten.
Es habe bis jetzt im Falle von WannaCry auch in der Tat noch kein einziger Betroffener davon berichtet, dass nach Bezahlung die Daten wiederhergestellt worden seien.
Update 16.5.2017: Wie inzwischen zwei verschiedene Quellen berichten, soll es einzelne Erpressungsopfer geben, die nach Bezahlung des Lösegeldes ihre Dateien wieder zurück erhalten haben. So berichtet der Tages Anzeiger hier vom Kunden einer Schweizer Bitcoin-Wechselstube, der nach Zahlung der Summe seine Files zurück erhalten habe. Auch F-Secures Sicherheits-Experte Mikko Hyppönen meldet in einem Tweet, dass einzelne solche Fälle bekannt seien. Aber er fügt in Bezug aufs Bezahlen von Lösegeld an: «Still, not recommended», zu Deutsch: «Nach wie vor – nicht empfohlen».
Quelle: [Update] WannaCry: Bezahlen des Lösegeldes oft zwecklos
Erpressungs-Trojaner
WannaCry: Ransomware sorgt für globale Ausfälle
Die Ransomware WannaCry legt weltweit Windows-Rechner lahm. Lesen Sie, welche Auswirkungen das hat und was Sie dagegen tun können.
Seit Freitag sorgt ein groß angelegter Ransomware-Angriff für massive Störungen. Erpressungs-Trojaner mit Namen wie "WannaCry" oder "WannaCrypt" befielen unzählige Computer mit veralteten Windows-Betriebssystemen. Die Hacker konnten die PCs infizieren, weil wichtige Sicherheitsupdates fehlten, die Microsoft im März 2017 bereit stellte. Wer sein System aktualisiert hatte, war vor dem Angriff geschützt. Offenbar halten sich jedoch viele Nutzer und auch Unternehmen nicht an entsprechende Sicherheitsregeln.
In Deutschland bemerkten zum Beispiel Reisende der Deutschen Bahn, dass etwas nicht stimmt. Digitale Abfahrtstafeln, Fahrkartenautomaten sowie Sicherheitskameras waren von der Störung betroffen. Während der Nah- und Fernverkehr normal verlief, mussten sich die Passagiere online oder über gedruckte Fahrpläne informieren. Verfolgen können Sie die Auswirkungen unter anderem auf Twitter. Nutzer posten neben typischen Social-Media-Kalauern auch Fotos von oder Berichte über betroffene Systeme.
Härter getroffen hat es England. Denn wie der Guardian berichtet, hatten Krankenhäuser Schwierigkeiten ihre Patienten richtig zu versorgen. Durch die Ransomware waren Patientenakten gesperrt, deshalb konnten die Krankenpfleger auch keine Rezepte ausstellen. Teilweise mussten Operationen abgesagt werden.
Wie funktioniert Ransomware, was macht WannaCry besonders?
Nachdem ein üblicher Erpressungs-Trojaner beispielsweise über manipulierte E-Mail-Anhänge auf den ungeschützten Computer gelangt ist, verschlüsselt der Schädling die Daten des befallenen Rechners. Dadurch können Nutzer nicht mehr auf ihr Profil oder ihre Dateien zugreifen. Erst eine Zahlung in variierender Höhe erlaubt wieder den Zugang zu den eigenen Daten.
Die Macher hinter WannaCry verlangen 300 US-Dollar in Bitcoin, um verschlüsselte Daten wieder freizugeben. Das Besondere an WannaCry ist, dass Cyberkriminelle eine eigentlich geschlossene Windows-Lücke ausnutzen konnten - ohne dass das Opfer hierfür sein Zutun liefern musste. Das Sicherheitsleck war übrigens ein Einfallstor für Spionage-Aktionen der NSA, Hacker hatten Infos über die Lücke publik gemacht.
Wie schütze ich mich vor der Ransomware WannaCry?
Als erste Maßnahme empfiehlt es sich, die Windows Updates von Microsoft regelmäßig zu installieren. Microsoft stellt neben Windows 10, 8.1 und 7 auch Patches für die mittlerweile auf Eis liegenden Systeme Windows XP und Vista bereit.
Vorbeugend sollten Nutzer auch Backups ihrer Daten anlegen. Außerdem ist es sinnvoll, einen aktuellen Virenschutz zu verwenden. Wessen Computer allerdings schon vom Virus befallen ist, hat schlechte Karten. Das deutsche Bundesamt für Sicherheit in der Informationstechnik empfiehlt außerdem, den Forderungen der Verantwortlichen nicht nachzukommen. Nutzer, die das Lösegeld bezahlen, haben keine Garantie, dass sie ihre Daten nach der Bezahlung entschlüsselt zurückbekommen.
15.5.2017 von Alina Braun
Quelle: WannaCry: Ransomware sorgt für globale Ausfälle - PC Magazin
Microsoft kritisiert Regierungen
Laut Microsoft ist die letzte Attacke ein Weckruf für Regierungen. In diesem Zusammenhang kritisiert der Konzern das Lagern von Schwachstellen durch Geheimdienste wie die NSA.
» Von SDA , 15.05.2017 06:07.
Nach der globalen Cyber-Attacke auf rund 150 Länder hat der Software-Konzernriese Microsoft den Regierungen eine Mitschuld gegeben. Der Angriff sei ein weiteres Beispiel, warum das Lagern von Sicherheitslücken durch Regierungen ein Problem sei, hiess es von Microsoft.
Der Angriff sollte ein Weckruf sein, schrieb Microsoft-Präsident Brad Smith in einem Blog am Sonntag. Ein vergleichbares Szenario mit konventionellen Waffen wäre, wenn dem US-Militär einige seiner «Tomahawk»-Marschflugkörper gestohlen würden.
Bei der Attacke am Freitag nutzte die Software eine Sicherheitslücke im Microsoft-Betriebssystem Windows aus, über die sie automatisch neue Computer anstecken konnte. Diese Schwachstelle hatte sich einst der US-Geheimdienst NSA für seine Überwachung aufgehoben, vor einigen Monaten hatten unbekannte Hacker sie aber publik gemacht.
Betroffen von dem Angriff waren Computer auf der ganzen Welt. Sie wurden von sogenannten Erpressungstrojanern befallen, die sie verschlüsseln und Lösegeld verlangen. Microsoft hatte zwar im März die entsprechende Sicherheitslücke geschlossen - geschützt waren aber nur Computer, auf denen das Update installiert wurde.
Quelle: Microsoft kritisiert Regierungen
Windows Update Probleme
WannaCry: Windows-Patches gegen Ransomware als Download
Nach der Aufregung um die Ransomware WannaCry streikt Windows Update? Wir zeigen Ihnen den Weg zum Patch-Download, den Ihr Windows-Rechner jetzt braucht.
Seit vergangenem Freitag legt der Erpressungs-Trojaner WannaCry weltweit Rechner lahm. 200.000 Rechner in 150 Ländern seien schon befallen. Die Ransomware nutzt eine Windows-Sicherheitslücke, die Microsoft zwar schon stopfte. Durch nicht regelmäßig eingespielte Windows Updates konnte der Schädling jedoch sein Unwesen treiben.
Betroffen sind unter anderem die Betriebssysteme Windows XP, 7, 8 und Windows Server 2003 und 2008. Wer Windows 8.1 oder Windows 10 nutzt, ist fein raus – sollte aber dennoch seine Antiviren-Software auf dem aktuellen Stand halten, Backups erstellen und sein Surfverhalten stets kritisch hinterfragen.
Der derzeit nützlichste Tipp, um eine Infektion mit WannaCry zu vermeiden, ist klar: Windows Updates installieren! Doch nicht immer funktioniert das einwandfrei: Der Download hängt, die Installation geht schief oder das eigene Windows-System findet einfach keine Patches.
Wichtig ist, dass Sie je nach System den richtigen Patch für Windows einspielen. Im letztgenannten Fall, wenn Windows keine Patches findet, kann es schlichtweg sein, dass Sie den nötigen Patch bereits eingespielt haben. Microsoft hatte die nötigen Downloads schon im März bereitgestellt.
WannaCry: Welchen Patch brauche ich?
•Windows Server 2008 und 7 benötigen den Patch KB4012212
•Windows Server 2003, XP und 8 benötigen den Patch KB4012598
Prüfen Sie unter Systemsteuerung / Windows Update / Updateverlauf und die Suche, ob entsprechende Updates bereits eingespielt sind. Wenn nicht, dann können Sie bei Problemen mit dem Windows-Update-Dienst den Windows-Update-Katalog nutzen, der mittlerweile nicht mehr ausschließlich nur mit dem Internet Explorer funktioniert, sondern auch unter Firefox wie Chrome und anderen Browsern seinen Dienst zuverlässig verrichtet.
Identifizieren Sie Ihr Betriebssystem eindeutig, indem Sie in der Systemsteuerung den Punkt System öffnen. Wichtig ist neben der Betriebssystembezeichnung die Frage, ob 32 oder 64 Bit. Haben Sie eine klare Antwort gefunden, können Sie im Windows Update Catalog nach einem der genannten Patches suchen. Wählen Sie die passende Variante für sich und laden Sie sie herunter. Die heruntergeladene Datei führen Sie anschließend aus. Ein anschließender Neustart und Sie sind durch!
16.5.2017 von The-Khoa Nguyen
Quelle: WannaCry: Windows-Patches gegen Ransomware als Download - PC Magazin