23.05.2017 |
Weltweit schreckte Mitte Mai die bösartige „Ransomware“ (Mix aus engl. für Lösegeld und Software) „WannaCry“ (willste heulen) IT-Verantwortliche auf. Rund 230.000 Systeme in 150 Ländern wurden bis dato angegriffen. Betroffen sind Unternehmen und Institutionen weltweit. Bekanntestes Opfer des Hacker-Angriffs hierzulande war die Deutsche Bahn, deren Anzeigetafeln in den Bahnhöfen ausfielen.
Hinter der Bezeichnung „Ransomeware“ verbergen sich Erpressungstrojaner, Kryptotrojaner oder Verschlüsselungstrojaner wie eben „WannaCry“ oder „Locky“. Das sind Schadprogramme, mit deren Hilfe Hacker den Zugriff auf oder die Nutzung von Daten und gesamten Computersystemen verhindern will (Wikipedia).
Fieser Hacker-Angriff auf die Systeme
WannaCry nutzt für den Angriff mehrere Übertragungswege („Angriffsvektoren“). Die Verbreitung erfolgt vor allem über das Internet. Dabei werden spezielle Schadcodes über das Remote-Desktop-Protokoll (RDP) auf einem Computer eingespielt. RDP ist ein Microsoft-Terminaldienst, der via Internet erlaubt, Computer an anderen Standorten zu steuern. Ganz legal wird das z.B. für Supportfälle genutzt. Zur Katastrophe führt der eingespielte Schadcode über eine in älteren Windows-Installation bestehende Schwachstelle von Windows.
Auch E-Mails könnten zur Infektion führen, indem sie den Nutzer über Links zu gefälschten Website leiten, auf denen der Schadcode liegt. Hat das Schadprogramm ein System erstmal infiziert, richtet es dort u.a. einen Dienst ein, über den es wie ein Computerwurm auch andere Rechner im lokalen Netz zu infizieren versucht. Und natürlich geschieht all dies ohne Zutun und Wissen eines Nutzers.
Erpressung ist das Ziel der Hacker
WannaCry verschlüsselt mit einem 2048-Bit-RSA-Schlüssel Dateien von Dokumenten, Bild-, Video- oder Audioformaten, die auf der Festpatte, einem Netzlaufwerk oder einem anderen angeschlossenen Speichermedium gefunden werden. Für die Hacker eine sichere Sache, denn diese Verschlüsselung gilt zurzeit ohne den passenden Schlüssel als nicht entschlüsselbar.
Sobald WannaCry die Daten auf dem System verschlüsselt hat, erscheint eine Bildschirmmaske mit der Nachricht, dass die Daten verschlüsselt sind und nur gegen die Zahlung einer Summe von Bitcoin (anonyme Internetwährung ) wieder entschlüsselt werden können. Eindeutig: Erpressung. Und natürlich gibt es keine Garantie, dass die Erpresser die Daten nach Zahlung des Lösegelds dann auch wirklich entschlüsseln.
Don’t WannaCry: Erfolgreiche Gegenwehr
Erster Tipp also:
Sich nicht erpressen lassen, ist eine gute Entscheidung! Das belegen auch die Zahlen. Weltweit wurden an die Erpresser nur etwa 70.000 € gezahlt.
Die Weiterverbreitung der Schadsoftware wird durch den Software-Patch von Microsoft vom 14. März 2017 (MS17-010) verhindert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät daher zum Aufspielen dieses Patches. Zudem hatte der Schadcode in der aktuellen Version einen Kill-Switch (Notausschalter) und ließ sich darüber beenden. Allerdings vermeldet PC Games (16.5.2017), dass inzwischen eine WannaCry-Version (Uiwix) ohne diesen „Notausschalter“ im Umlauf ist.
Eigentlich sollte es selbstverständlich sein, dass die jeweiligen Updates für Anti-Virus und Anti-Ransomware-Software regelmäßig eingespielt werden. Allerdings gibt es Systeme, bei denen dies aus den unterschiedlichsten Gründen nicht möglich ist.
Alte Systeme effektiv schützen
Wer alte Mircrosoft-Betriebssysteme wie Windows XP, Windows 8, oder Windows Server 2003 im Einsatz hat und diese nicht einfach austauschen kann oder darf (z.B. weil es sich um zertifizierte medizinische Laborsysteme oder klinischen Apparate handelt), hat ein Problem: Hierfür gibt es keine Sicherheitspatches mehr.
5 kurze Tipps dazu:
- Schotten Sie die Systeme mit Firewalls ab (Micro-Netzwerksegmentierung) und nutzen Sie die Systeme nur und ausschließlich für den vorgesehenen Zweck.
- Blockieren Sie auf der Firewall die TCP Ports 137, 139 und 445 und UDP Ports 137 und 138. Hierüber läuft der Traffic, über den die Kommunikation mit den Backend Services des Schadcodes läuft.
- Deaktivieren Sie auf dem Rechner den Server Message Block (SMB) von Microsoft und unterbinden Sie damit die Remotesteuerung der Systeme. Hilfe dazu finden Sie unter: https://support.microsoft.com/en-in/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
- Entschlacken Sie die Systeme von Programmen, die nicht dem ursprünglichen Zweck dienen (z.B. E-Mail-Programme, Internetbrowser)
Immer eine gute Empfehlung: Erstellen Sie ein Back-up, das Offline nicht befallen werden kann und funktioniert. (Schon mal getestet?)
Wenn’s passiert ist
Hier helfen nur neues Wiederaufsetzen des Rechners und Einspielen eines (hoffentlich) funktionierenden Back-ups aus der Zeit vor der Infektion. Existiert keines, sind die Daten endgültig verloren.
Laut Computerwoche ist der Angriff noch nicht ausgestanden. Zwar ist diese Welle beendet, aber es könnte jederzeit eine neue Angriffswelle denselben Exploit (Schwachstelle) ausnutzen. Sollten Sie also die oben genannten Empfehlungen nicht berücksichtigen, riskieren Sie eine Infektion – und Sie wollen ja bestimmt nicht heulen, oder?
Ihr Roland von Gehlen