Über unsMediaKontaktImpressum
12. Mai 2017

Trojaner Wannacry legt weltweit Rechner lahm - So verhindern Sie die Infektion!

Zahlreiche britische Krankenhäuser lahmgelegt - Ransomware verbreitet sich weltweit mit rasanter Geschwindigkeit. Auch Privatanwender sind betroffen. Windows Update soll umgehend eingespielt werden.

Weltweit breitet sich gerade mit rasanter Geschwindigkeit die Ransomware WannaCry (auch als WanaCrypt0r 2.0, Wcry und Wanna bekannt) aus. Dabei handelt es sich um einen Erpressungstrojaner, der Daten verschlüsselt, um Lösegeld zu erpressen. Polizeibehörden warnen jedoch davor, Kriminelle auf diesem Weg zu finanzieren.

WannaCry: Betroffene Unternehmen und Institutionen

WannaCry nutzt eine Schwachstelle, die durch die Shadowbroker Leaks bekannt wurde. Zunächst wurden Infektionen in Groß Britannien gemeldet: Hier wurden mehrere Krankenhäuser des National Health Services (NHS) angegriffen. Auch zahlreiche spanische Unternehmen, darunter das O2-Mutterunternehmen Telefonica melden Infektionen. Inzwischen sind auch deutsche Großunternehmen betroffen.

Ransomware: Kritische Systeme sollten umgehend durch Windows-Update geschützt werden

Die groß angelegte Ransomware-Attacke bedroht PCs mit Windows-Betriebssystemen. Dazu wird eine Sicherheitslücke genutzt, die ursprünglich von der US-amerikanischen NSA entdeckt worden war und später durch bisher unbekannte Hacker veröffentlicht wurde. Die Gruppe namens Shadow Brokers hatte Exploits veröffentlicht.

Benutzer von Windows-Systemen sollten umgehend die Security-Patches von Microsoft installieren.

Wir halten Sie auf dem Laufenden und aktualisieren regelmäßig diese Nachricht.

Deutsche Bahn: Bahnhofstafel über das Web anzeigen

Bahnhofstafeln können auch unter der folgenden Adresse angezeigt werden:

http://bahnhofstafeln.de

Smartphone-Nutzer können über den obigen Link auch mobil Bahnhofstafeln abfragen.

Das Reisendeninformationssystem der Deutschen Bahn zeigt zudem aktuelle Zug-Informationen:

https://www.bahn.de

Ransomware befällt spanisches Telekommunikationsunternehmen

Aktualisierung 12.05.2017 23:32 Uhr

Es sei eine weltweite Attacke, Computer aus diversen europäischen Ländern, Russland und auch Asien seien befallen, sagte Helge Husemann von der IT-Sicherheitsfirma Malwarebytes der Deutschen Presse-Agentur. Möglicherweise sind Krankenhäuser und andere kritische Infrastruktur gezielt angegriffen worden. Zehntausende Computer sollen betroffen sein. Der Trojaner soll selbst-replizierend sein. Ein einziger infizierter Rechner in einem Netz soll genügen, um für eine weitere Ausbreitung zu sorgen.

Mitarbeiter der spanischen Telefónica berichten, eine Lösegeldforderung mit dem Hinweis, dass der Computer verschlüsselt worden sei, sei angezeigt worden. Die Zahlung wird in Bitcoins angefordert. In Großbritannien soll in Bildschirm-Meldungen die Warnung angezeigt worden sein, dass alle Daten gelöscht würden, sofern der geforderte Betrag nicht innerhalb von sieben Tagen bezahlt werde.

Behörden raten von einer Zahlung dringend ab. Kritische Windows-Systeme sollten umgehend gepatcht werden.

WannaCry - ETERNALNLUE Exploit greift Microsoft Server Message Block (SMB)-Protokoll an

Aktualisierung 12.05.2017 23:46 Uhr

Mindestens 74 Länder sind betroffen. Die Attacken starteten in etwa zur selben Zeit. Der ETERNALBLUE Exploit ist vermutlich die Basis. Die genutzte Sicherheitslücke ist "MS17-010 in Microsofts Server Message Block (SMB) Protocol". Ein Patch zur Beseitigung der Sicherheitslücke wurde am 14. März veröffentlicht, hat jedoch noch nicht alle Nutzer erreicht. Ob Krankenhäuser gezielt angegriffen wurden oder einfach nur betroffen sind, weil Patches vernachlässigt wurden, ist aktuell unklar.

WannaCry - Windows Security Updates

Aktualisierung 13.05.2017 00:22 Uhr

Organisationen sollten sicherstellten, dass die neuesten Windows Security Updates installiert sind. Weitere Informationen gibt es auf den Microsoft-Seiten sowie auf Seiten von Antiviren-Software-Herstellern, beispielsweise hier. Reuters bietet eine eher auf Anwender zielende Informationsseite.

WannaCry: Betroffene Länder und Unternehmen

Aktualisierung 13.05.2017 09:12 Uhr

Kaspersky Lab, Hersteller der gleichnamigen Antiviren-Software, gibt an, dass in mindestens 74 Ländern mehr als 45.000 Angriffe erfolgt seien. Avast, ebenfalls Security-Spezialist, berichtet von mehr als 75.000 Angriffen in mindestens 99 Ländern. Schwerpunkte sollen demnach in der Ukraine, Russland und Taiwan liegen. Sogar das russische Innenministerium habe mehr als 1000 infizierte Rechner.

Das BSI rät weiterhin dringend zur Installation des Microsoft Patches MS17-010, der bereits im März veröffentlicht wurde.

WannaCry - FedEx in den USA betroffen - Erste Bewertungen des Angriffs

Aktualisierung 13.05.2017 09:22 Uhr

Der Lieferdienst FedEx in den USA ist betroffen und entschuldigt sich bei seinen Kunden für die Ausfälle. In Portugal rät der Telekommunikationskonzern Portugal Telekom (PT) seinen Mitarbeitern, alle Windows-Computer umgehend abzuschalten. Auch der Zugriff auf die Online-Konten der Bank Millennium BCP war über Stunden nicht möglich. Das Bankhaus sei nach eigenen Angaben zwar bisher nicht von Attacken betroffen, wolle aber vorsorglich technische Vorkehrungen treffen. Inzwischen ist der Zugriff auch wieder möglich.

Während Experten an Lösungen arbeiten, wird bereits über die Ursachen diskutiert. Der ehemalige NSA-Mitarbeiter und Whistleblower Edward Snowden äußerte über Twitter, dass die NSA diese Sicherheitslücke schon lange kenne und nicht an Microsoft gemeldet habe, so dass kein Patch entwickelt werden konnte. Andere weisen darauf hin, dass ein Patch für exakt diese Sicherheitslücke bereits seit März verfügbar ist, viele Systeme aber offensichtlich nicht aktualisiert worden seien.

Der Groß-Angriff zeigt, wie verletzlich aktuell vernetzte Strukturen sind. Besonderes Augenmerk sollte auf kritische Infrastrukturen gelegt werden.

WannaCry - Weiterverbreitung vorerst gestoppt?

Aktualisierung 13.05.2017 16:12 Uhr

Der Betreiber des Blogs MalwareTech hat nach einer Analyse die Malware stoppen können. WannaCry pflanzt sich über einen Computerwurm von Rechner zu Rechner fort. Findet WannaCry einen Windows-Rechner mit der ungepatchten Sicherheitslücke, schickt die Schadsoftware eine Anfrage an eine Webseite. Erhält sie die Antwort, die Website existiert nicht, so infiziert sie den Rechner. MalwareTech hat den Domainamen dieser Website im Code gefunden und die Domain registriert. Dadurch läuft die Software nicht mehr in die Programmverzweigung, die zu einer Weiter-Infektion führt.

Warum diese bedingte Infizierung genutzt wurde, ist aktuell unklar. Möglicherweise haben die Angreifer den Code zusammenkopiert und diese Bedingung aus einem Malware-Template entnommen. Ein Ende mit Schrecken, aber dennoch recht glimplich. Die Attacke zeigt jedoch, wie angreifbar Systeme einschließlich kritischer Infrastrukturen sind.

Die Angreifer haben bisher die Website nicht weiter angegriffen. Zudem hat Microsoft nun auch noch Patches nicht nur für Versionen ab Windows Vista, sondern auch für Windows XP bereitgestellt.

WannaCry -  200.000 Systeme in 150 betroffen

Aktualisierung 15.05.2017 06:03 Uhr

Laut Europol waren mindestens 200.000 Systeme in 150 Ländern betroffen. Microsoft stellt inzwischen auch Patches für Windows-Versionen bereit, die eigentlich nicht mehr supportet werden, darunter sogar für Windows XP. Die befürchtete neue Welle an Infizierungen zum Wochenstart ist bisher immerhin ausgeblieben.

Derweil sind die Einnahmen der Erpresser im Vergleich zum Schaden nicht allzu hoch. Dies kann man leicht nachvollziehen: Die Zahlungen wurden als Bitcoin angefordert - Transaktionen, die mit Bitcoins erfolgen, werden in Form einer Blockchain gespeichert. Diese ist dezentral verteilt. Die Einträge können von jedem nachvollzogen werden. Ein Mitarbeiter des Onlinemagazins Quartz stellte hierzu einen Twitterbot bereit, der die Bitcoin-Wallets der Kriminellen monitort und jedesmal einen Tweet veröffentlicht, wenn eine Zahlung durchgeführt wird. Bisher gingen zwei bis drei Zahlungen pro Stunde ein. Fünf Konten der Erpresser sind bisher bekannt.

Monitor der Zahlungseingänge über Bitcoins an die Erpresser 

Aktualisierung 15.05.2017 08:12 Uhr

Nicht nur Zahlungseingänge sind sichtbar: Sollten die Verursache versuchen, Geld abzuheben, ist dies ebenfalls nachvollziehbar und falls sie dabei Fehler machen, kann dies dazu führen, dass sie identifiziert werden. Technische Details zu Blockchains finden Sie hier.

Das Bundeskriminalamt ermittelt bereits - und sicherlich werden die Verursacher auch von anderen Ermittlungsbehörden gesucht. So waren in China mehr als 29.000 Institutionen betroffen. Die staatliche Nachrichtenagentur Xinhua teilte mit, dass gerade auch Universitäten und Schulen sowie Bahnhöfe, Poststationen, Tankstellen, Krankenhäuser und Büros betroffen sind. An Tankstellen des größten chinesischen Ölkonzerns PetroChina konnte nicht mit Kreditkarten gezahlt werden. Auch in Japan waren rund 2000 Computer infiziert. Das japanische Koordinierungszenturm für Computerschutz (JPCERT) teilte mit, dass Unternehmen wie Hitachi und Nissan ebenfalls betroffen waren.

Neue Varianten von WannaCry identifiziert

Aktualisierung 15.05.2017 08:37 Uhr

Eine befürchtete neue Welle von Computerstörungen zum Wochenstart ist jedoch zunächst ausgeblieben. Die Security-Experten von AV-Test haben 147 Varianten der Ransomware identifiziert. In Twitter-Posts wurde inzwischen über weitere WannaCry-Varianten berichtet, die keinen "Kill Switch" enthalten oder andere Abschalt-Domains nutzen. Es ist vermutlich eine Frage der Zeit, bis weitere Varianten im Umlauf sind.

WannaCry: Neueste Informationen zur Ransomware

Informationen zu WannaCrypt-Attacken, Varianten der Ransomware und zu Bitcoins gibt es hier:

AH 

Sie möchten zukünftig per Newsletter der Informatik Aktuell informiert werden? Hier können Sie sich anmelden.