Das zweite Mai-Wochenende 2017 war für Viele wenig erholsam: die Ransomware (Erpressungstrojaner) WannaCry befiel weltweit sehr viele Rechner. Die Malware verbreitet sich von infizierten Rechnern aus selbstständig weiter und "springt" vor allem in Netzwerken von einem zum anderen Rechner, was die Anzahl der infizierten Rechner rasant anstiegen ließ. Erpressungstrojaner wie WannaCry oder Locky "kidnappen" Ihre Daten und verschlüsseln sie. Um einen Entschlüsselungscode zu erhalten, werden Sie aufgefordert, eine Summe in Bitcoin an die Erpresser zu zahlen. Experten raten dazu, auf keinen Fall zu zahlen, denn man weiß nicht, ob dann tatsächlich die Daten wieder entschlüsselt werden.

In Deutschland waren auch viele Unternehmen von dem Cyberangriff betroffen, unter anderem die Deutsche Bahn. Auch in anderen Ländern wurden große Unternehmen Opfer der Malware, wie z.B. in Großbritannien (hier gab es Störungen in vielen Krankenhäusern) und Frankreich (in einigen Werken von Renault wurden die Bänder gestoppt).

Was man gegen WannaCry tun kann

Die Ransomware WannaCry verbreitet sich, wie bei Ransomware üblich, per Email. Hat sie sich aber auf einem Rechner eingenistet, nutzt sie eine Lücke im Betriebssystem Windows aus, genauer gesagt in den Windows Dateifreigaben (SMB). Für diese Lücke wurde im März 2017 bereits ein Sicherheitsupdate von Microsoft ausgeliefert. Als Privatperson kann man (meistens) selbst steuern, welche Updates auf den eigenen Rechner aufgespielt werden, daher sollte man Windows schnellstens aktualisieren, damit Angreifer keine Chance haben. Besonders gefährdet sind ältere Windows-Versionen, die nicht mehr automatisch mit Sicherheitsupdates versorgt werden, wie Windows XP oder Windows Server 2003. Hier kann man das Update auch manuell herunterladen und installieren. Wenn Sie noch Windows XP nutzen, sollten Sie spätestens jetzt ernsthaft über einen Wechsel auf ein aktuelles Betriebssystem nachdenken. Soweit bis jetzt bekannt ist, sind Nutzer von Windows 10 derzeit nicht betroffen.

In komplexeren oder größeren Netzwerken sieht es noch einmal anders aus, da Updates hier häufig von einem Administrator (über einen WSUS-Server) freigegeben werden müssen. Auch hier sollten die Administratoren schnellstens die notwendigen Updates überprüfen und freigeben, damit Computer im Netzwerk sicher vor Hackerangriffen sind.

Verbreitung von WannaCry scheint verlangsamt

Seit Freitag Abend scheint sich die Verbreitung der Malware zumindest verlangsamt zu haben. Durch Zufall fand ein Mitarbeiter einer britschen Software-Firma heraus, dass im Quellcode von WannaCry eine seltsame Domain auftauchte, die noch nicht registriert war. Er registrierte die Adresse und konnte dadurch wohl eine weitere Ausbreitung der Malware stoppen. Daten auf Rechnern, die bereits infiziert sind, bleiben aber weiterhin verschlüsselt. Es bleibt zu hoffen, dass einer der großen Anti-Viren-Softwarehersteller einen passenden Schlüssel entwickelt und diesen zur Verfügung stellt.

Checkliste zum Schutz vor WannaCry

Überprüfen Sie, ob folgende Schritte bereits unternommen wurden:

1. Ist der Patch MS17-010 installiert?
2. Blockiert Ihre Firewall die TCP-Ports 137, 139 und 445, die aus dem Internet stammen?
3. Blockiert Ihre Firewall die UDP-Ports 137 und 138 sowie TCP 3389 (RDP)?
4. Ist das Übertragungsprotokoll SMB in der Version 1 blockiert? (Hierzu die offizielle Anleitung von Microsoft.)
5. Ist ausgehende Kommunikation über das TOR-Protokoll im Allgemeinen blockiert? Zumindest sollten folgende bekannte C&C-Server blockiert sein:
   • cwwnhwhlz52ma.onion
   • gx7ekbenv2riucmf.onion
   • xxlvbrloxvriy2c5.onion
   • 57g7spgrzlojinas.onion
   • 76jdd2ir2embyv47.onion

Seien Sie also nach wie vor wachsam bei Emails von fremden Absendern und öffnen Sie keine unbekannten Datei-Anhänge! Achten Sie immer darauf, alle aktuellen Updates auf Ihr Windows-Betriebssystem zu installieren und nutzen Sie aktuelle Betriebssysteme.

Wichtig ist auch, gerade für Unternehmen, dass jederzeit ein aktuelles Backup Ihrer Daten zur Verfügung steht. Gehen Sie auf Nummer sicher und halten Sie das Backup immer offline bereit.

Wenn Sie Fragen haben oder Hilfe mit Ihrem Rechner benötigen, rufen Sie uns gerne an: 06831 / 128 399.