WannaCry Ransomware legt weltweit Rechner lahm
Seit Freitagabend breitet sich die Ransomware WannaCry (WanaDecrypt0r 2.0) im weltweiten Internet aus. Es handelt sich um einen Kryptotrojaner, der Daten auf den betroffenen Computern verschlüsselt. Gegen die Zahlung einer bestimmten Summe in Bitcoin soll der Nutzer den Code für die Entschlüsselung erhalten. Weltweit sollen zur Stunde über 100.000 Systeme betroffen sein.
Großbritannien schwer getroffen
Nach bisherigen Erkenntnissen hat sich der Schädling am Freitag zunächst in Russland ausgebreitet und dann schnell auch in anderen Ländern verbreitet. Es sind vor allem ältere Windows-Versionen betroffen, die nicht mehr mit Sicherheits-Updates versorgt werden. Besonders schwere Folgen hatte das in Großbritannien, wo WannaCry zahlreiche Rechner des National Health Service (NHS) befallen hat und die staatliche Gesundheitsversorgung massiv gestört ist.
Verschiedene Firmen wie: Nissan, Renault mit Niederlassungen in Frankreich meldeten Ausfälle durch Angriffe, in Spanien und Portugal sind zum Beispiel die großen Netzbetreiber Telefónica und Telecom betroffen. Aus den USA meldet der Logistikriese FedEx eine Infektion. In Deutschland hat es bisher vor allem die Deutsche Bahn erwischt, deren Anzeigesysteme auf vielen Bahnhöfen ausgefallen sind.
Malware verbreitet sich im Netzwerk weiter
Dass die Ransomware sich so schnell verbreiten kann, liegt offenbar auch daran, dass sie sich wie ein Wurm im Netzwerk verbreitet. In einem großen Netzwerk kann demnach ein einziger verwundbarer Rechner ausreichen, um andere PCs über das interne Netzwerk zu infizieren. Die Ransomware droht damit, die Daten endgültig zu zerstören, wenn nicht innerhalb von sieben Tagen gezahlt wird.
Nach bisherigen Erkenntnissen nutzt WannaCry zwei Angriffsvektoren: Einmal verbreitet er sich – wie bei Kryptotrojanern üblich – per E-Mail. Doch wenn der Schädling ein Sytem infiziert hat, versucht er auch, wie ein Wurm andere Rechner im gleichen Netz zu kompromittieren. Dafür nutzt WannaCry offenbar eine Lücke in Windows Dateifreigaben (SMB).
Microsoft hatte die verantwortliche Sicherheitslücke bereits im März durch Sicherheits-Updates geschlossen. Diese Patches liefert der Hersteller jedoch nur für die aktiv unterstützten Windows-Versionen. Ältere Windows-Versionen blieben also weiter ungeschützt – dazu gehören insbesondere Windows XP und Windows Server 2003.
Manche Anwender schalten allerdings die automatische Installation von Sicherheits-Updates ab, was dazu führt, dass derartige Lücken offen bleiben.
Unbedingt Patchen!
Nutzer sollten Windows-Sicherheitspatches grundsätzlich immer installieren. Wer Microsofts Sicherheitsupdate MS17-010 noch nicht eingespielt hat, muss das jetzt nachholen.
Server- und Netzwerksysteme von Firmen die über einen System und Wartungsvertrag von uns verfügen wurden bereits nach Freigabe des Microsoft Patch im März gegen diese Lücke abgesichert. Somit sind diese Serversysteme nicht betroffen. Wir bitten aber alle Mitarbeiter dennoch beim Email Verkehr KEINE Anhänge unbekannter oder Verdächtig erscheinenden Email Adressen zu Öffnen, auch KEINE „PDF“ Dateien!
Sollten Sie Zweifel an einer Email haben, kontaktieren Sie uns bitte unverzüglich BEVOR Sie den Anhang öffnen!
Wir können Ihnen meist unverzüglich darüber bescheid geben ob die Email Gefährlich ist oder nicht!
Quelle: heise.de, golem.de
