Besonders betroffen waren das spanische Telekommunikationsunternehmen Telefonica sowie Krankenhäuser im gesamten Vereinigten Königreich. Laut The GuardianDie britischen Angriffe trafen mindestens 16 Einrichtungen des National Health System (NHS) und beeinträchtigten direkt die Informationstechnologie (IT)-Systeme, die zur Gewährleistung der Patientensicherheit eingesetzt werden.
Empfohlene Videos
Avast
Die Ransomware WanaCryptOR oder WCry basiert auf einer Schwachstelle, die im Windows Server Message Block-Protokoll identifiziert und gepatcht wurde Microsofts Patch-Dienstag für März 2017 Sicherheitsupdates,
berichtet Kaspersky Labs. Die erste Version von WCry wurde im Februar veröffentlicht und seitdem in 28 verschiedene Sprachen übersetzt.Microsoft hat reagiert Mit einem eigenen Blog-Beitrag zur Windows-Sicherheit reagierte das Unternehmen auf den Angriff und bekräftigte darin die Botschaft, dass derzeit unterstützte Windows-PCs mit den neuesten Sicherheitspatches vor der Malware sicher seien. Darüber hinaus wurden die Windows Defenders bereits aktualisiert, um Echtzeitschutz zu bieten.
„Am 12. Mai 2017 haben wir eine neue Ransomware entdeckt, die sich wie ein Wurm verbreitet, indem sie zuvor behobene Schwachstellen ausnutzt“, begann Microsofts Zusammenfassung des Angriffs. „Während Sicherheitsupdates auf den meisten Computern automatisch angewendet werden, kann es bei einigen Benutzern und Unternehmen zu Verzögerungen bei der Bereitstellung von Patches kommen. Leider scheint die als WannaCrypt bekannte Malware Computer betroffen zu haben, auf denen der Patch für diese Schwachstellen nicht installiert wurde. Während der Angriff stattfindet, erinnern wir Benutzer daran, MS17-010 zu installieren, sofern sie dies noch nicht getan haben.“
In der Erklärung heißt es weiter: „Die Antimalware-Telemetrie von Microsoft hat sofort Anzeichen dieser Kampagne erkannt. Unsere Expertensysteme verschafften uns Einblick und Kontext in diesen neuen Angriff, während er stattfand, und ermöglichten es Windows Defender Antivirus, Echtzeitverteidigung bereitzustellen. Durch automatisierte Analyse, maschinelles Lernen und prädiktive Modellierung konnten wir uns schnell vor dieser Malware schützen.“
Avast spekulierte weiter, dass der zugrunde liegende Exploit von einer Hackergruppe namens ShadowBrokers von der Equation Group gestohlen wurde, die im Verdacht steht, mit der NSA in Verbindung zu stehen. Der Exploit ist als ETERNALBLUE bekannt und wird von Microsoft als MS17-010 bezeichnet.
Wenn die Malware zuschlägt, ändert sie den Namen der betroffenen Dateien um die Erweiterung „.WNCRY“ und fügt ein „WANACRY!“ hinzu. Markierung am Anfang jeder Datei. Der Lösegeldschein wird außerdem in einer Textdatei auf dem Computer des Opfers abgelegt:
Avast
Anschließend zeigt die Ransomware ihre Lösegeldnachricht an, in der zwischen 300 und 600 US-Dollar in Bitcoin-Währung verlangt werden, und enthält Anweisungen zur Zahlung und anschließenden Wiederherstellung der verschlüsselten Dateien. Die Sprache in den Lösegeldanweisungen ist merkwürdig beiläufig und scheint dem zu ähneln, was man in einem Angebot zum Online-Kauf eines Produkts lesen könnte. Tatsächlich haben Benutzer drei Tage Zeit, das Lösegeld zu zahlen, bevor das Lösegeld verdoppelt wird, und sieben Tage, bevor die Dateien nicht mehr wiederhergestellt werden können.
Avast
Interessanterweise wurde der Angriff durch einen „zufälligen Helden“ verlangsamt oder möglicherweise gestoppt, indem einfach eine Webdomäne registriert wurde, die im Ransomware-Code fest codiert war. Wenn diese Domäne auf eine Anfrage der Malware reagierte, würde sie aufhören, neue Systeme zu infizieren – und fungierte als eine Art „Kill-Switch“, den Cyberkriminelle nutzen könnten, um den Angriff abzuwehren.
Als Der Guardian weist darauf hinDer Forscher, der nur als MalwareTech bekannt ist, registrierte die Domain für 10,69 US-Dollar, war sich zum Zeitpunkt des Kill-Switches nicht bewusst und sagte: „Ich war draußen Ich aß mit einem Freund zu Mittag und kam gegen 15 Uhr zurück. und sah einen Zustrom von Nachrichtenartikeln über den NHS und verschiedene britische Organisationen Schlag. Ich habe mir das ein wenig angeschaut und dann ein Beispiel der Malware dahinter gefunden und festgestellt, dass sie eine Verbindung zu einer bestimmten Domäne herstellte, die nicht registriert war. Also nahm ich es in die Hand, ohne zu wissen, was es damals tat.“
MalwareTech registrierte die Domain im Namen seines Unternehmens, das Botnets aufspürt, und wurde zunächst beschuldigt, den Angriff initiiert zu haben. „Anfangs hatte jemand verkehrt herum berichtet, dass wir die Infektion durch die Registrierung der Domain verursacht hätten, und das habe ich auch getan ein kleiner Ausraster, bis mir klar wurde, dass es tatsächlich umgekehrt war und wir es gestoppt hatten“, sagte MalwareTech gegenüber The Wächter.
Dies wird jedoch wahrscheinlich nicht das Ende des Angriffs sein, da die Angreifer möglicherweise in der Lage sind, den Code so zu ändern, dass der Kill-Schalter weggelassen wird. Die einzige wirkliche Lösung besteht darin, sicherzustellen, dass die Computer vollständig gepatcht sind und die richtige Malware-Schutzsoftware ausführen. Während Windows-Rechner das Ziel dieses speziellen Angriffs sind, MacOS hat seine eigene Schwachstelle gezeigt Daher sollten auch Benutzer des Apple-Betriebssystems darauf achten, die entsprechenden Schritte zu unternehmen.
Eine viel erfreulichere Nachricht ist nun, dass es anscheinend ein neues Tool gibt, das den von der Ransomware auf einigen Computern verwendeten Verschlüsselungsschlüssel ermitteln kann, sodass Benutzer ihre Daten wiederherstellen können. Das neue Tool namens Wanakiwi ähnelt einem anderen Tool, Wannakey, bietet jedoch eine einfachere Benutzeroberfläche und kann möglicherweise Computer reparieren, auf denen mehr Windows-Versionen ausgeführt werden. Als Ars Technica berichtetWanakiwi verwendet einige Tricks, um die Primzahlen, die bei der Erstellung des Verschlüsselungsschlüssels verwendet wurden, wiederherzustellen, indem er diese Zahlen im Grunde genommen aus ihnen zieht RAM wenn der infizierte Computer eingeschaltet bleibt und die Daten nicht bereits überschrieben wurden. Wanawiki nutzt einige „Mängel“ der kryptografischen Anwendungsprogrammierschnittstelle von Microsoft aus, die von WannaCry und verschiedenen anderen Anwendungen zur Erstellung von Verschlüsselungsschlüsseln verwendet wurde.
Laut Benjamin Delpy, der Wanakiwi mitentwickelt hat, wurde das Tool auf mehreren Maschinen mit verschlüsselten Festplatten getestet und konnte mehrere davon erfolgreich entschlüsseln. Zu den getesteten Versionen gehörten Windows Server 2003 und Windows 7, Delpy geht davon aus, dass Wanakiwi auch mit anderen Versionen funktionieren wird. Wie Delpy es ausdrückt, können Benutzer „einfach Wanakiwi herunterladen, und wenn der Schlüssel erneut erstellt werden kann, wird er extrahiert, rekonstruiert (ein guter Schlüssel) und mit der Entschlüsselung aller Dateien auf der Festplatte begonnen.“ Als Bonus kann der Schlüssel, den ich erhalte, mit dem Malware-Entschlüsseler verwendet werden, um Dateien zu entschlüsseln, als ob Sie bezahlt hätten.“
Der Nachteil ist, dass weder Wanakiwi noch Wannakey funktionieren, wenn der infizierte PC neu gestartet wurde oder der Speicherplatz mit den Primzahlen bereits überschrieben wurde. Es handelt sich also auf jeden Fall um ein Tool, das heruntergeladen und bereitgehalten werden sollte. Zur weiteren Beruhigung sei darauf hingewiesen, dass das Sicherheitsunternehmen Comae Technologies bei der Entwicklung und dem Test von Wanakiwi mitgeholfen hat und dessen Wirksamkeit überprüfen kann.
Du kannst Laden Sie Wanakiwi hier herunter. Dekomprimieren Sie einfach die Anwendung und führen Sie sie aus. Beachten Sie, dass Windows 10 sich darüber beschwert, dass die Anwendung ein unbekanntes Programm ist und Sie auf „Weitere Informationen“ klicken müssen, damit sie ausgeführt werden kann.
Mark Coppock/Digitale Trends
Ransomware ist eine der schlimmsten Arten von Malware, da sie unsere Informationen angreift und sie hinter einer starken Verschlüsselung sperrt, es sei denn, wir zahlen dem Angreifer Geld als Gegenleistung für einen Schlüssel zum Entsperren. Ransomware hat etwas Persönliches, das sie von zufälligen Malware-Angriffen unterscheidet, die unsere PCs in gesichtslose Bots verwandeln.
Der beste Weg, sich vor WCry zu schützen, besteht darin, sicherzustellen, dass Ihr Windows-PC vollständig mit den neuesten Updates gepatcht ist. Wenn Sie den Patch-Dienstag-Plan von Microsoft befolgt und mindestens Windows Defender ausgeführt haben, sollten Ihre Computer dies bereits tun geschützt – obwohl ein Offline-Backup Ihrer wichtigsten Dateien, die von einem solchen Angriff nicht beeinträchtigt werden können, ein wichtiger Schritt dazu ist nehmen. In Zukunft werden es die Tausenden von Maschinen sein, die noch nicht gepatcht wurden, die weiterhin unter diesem besonders weit verbreiteten Angriff leiden werden.
Aktualisiert am 19.05.2017 von Mark Coppock: Informationen zum Wanakiwi-Tool hinzugefügt.
Empfehlungen der Redaktion
- Ransomware-Angriffe haben massiv zugenommen. So bleiben Sie auf der sicheren Seite
- Hacker punkten mit Ransomware, die ihre bisherigen Opfer angreift
