Ver­schlüs­se­lungs­tro­ja­ner Wan­naCry / Wan­naCrypt: Tipps von der Forch­hei­mer Con­sato GmbH

Seit Frei­tag­abend greift eine unbe­kann­te Grup­pe von Kri­mi­nel­len welt­weit Win­dows Rech­ner an. Inner­halb eines Wochen­en­des wur­den in fast 30 Län­dern Com­pu­ter ver­schlüs­selt. Die Anga­ben schwan­ken. Man­che Medi­en spre­chen von 100.000 Rech­nern, ande­re von 200.000 und mehr. Betrof­fen sind Kli­ni­ken, die Deut­sche Bahn, aber auch Pri­vat­an­wen­der und Unter­neh­men. Der Schäd­ling wur­de auf den Namen “Wan­naCry” getauft.

Zwei­stu­fi­ge Infek­ti­on

Die Infek­ti­on erfolgt zwei­stu­fig. Im ersten Schritt erhält das Opfer eine E‑Mail mit einem ver­seuch­ten Anhang. Wird die­ser geöff­net, dann beginnt die Ver­schlüs­se­lung. Zusätz­lich nutzt der Wan­naCry Schäd­ling eine Sicher­heits­lücke in Win­dows aus, mit der er sich rasant im gesam­ten Netz­werk ver­brei­tet.

Das Bit­te­re an der aktu­el­len Ran­som­wa­re Wel­le ist, dass Micro­soft bereits seit März 2017 einen Patch gegen die­se Sicher­heits­lücke anbie­tet.

Wich­tig: Nicht die Infek­ti­on, aber die wei­te­re Aus­brei­tung lässt sich mit der Instal­la­ti­on die­ses Micro­soft Patches ver­hin­dern.

Uner­war­tet: Micro­soft stellt auch einen Patch für Win­dows XP bereit

Nach­dem sich gezeigt hat, dass häu­fig ver­al­te­te Syste­me die Aus­brei­tung begün­sti­gen, hat Micro­soft einen Patch für Win­dows XP und Ser­ver 2003 bereit­ge­stellt. Sind die­se instal­liert, dann kann sich der Schäd­ling zumin­dest nicht im loka­len Netz­werk aus­brei­ten.

Erste Maß­nah­men zum Schutz gegen Wan­na Cry

Auch bei die­sem Schäd­ling hel­fen ein­fa­che Maß­nah­men, um die größ­te Gefahr zu ban­nen:

  • Beson­ders wich­tig: sorg­sa­mer Umgang mit E‑Mails – beson­ders mit sol­chen, die Anhän­ge ent­hal­ten
  • Prü­fen, ob die Instal­la­ti­on von Micro­soft Patches aktiv ist und alle Patches ein­spie­len

Per­spek­ti­ve

Die Infek­ti­ons­ra­te hat sich offen­bar deut­lich ver­lang­samt. Eine tech­ni­sche Schwach­stel­le im Tro­ja­ner ver­hin­dert offen­bar der­zeit eine wei­te­re schnel­le Aus­brei­tung. Es ist aber in jedem Fall davon aus­zu­ge­hen, dass bald eine neue Wel­le fol­gen wird.

Für die­se und für alle nach­fol­gen­den Angrif­fe gilt, dass jeder Ein­zel­ne und jedes Unter­neh­men sich aktiv schüt­zen müs­sen. Es wird kei­ne Tech­no­lo­gien geben, die uns zukünf­tig vor sol­chen Attacken schüt­zen wer­den.

Die wich­tig­sten Maß­nah­men sind:

  • Regel­mä­ßi­ge, voll­stän­di­ge Daten­si­che­rung
  • Ver­ant­wor­tungs­vol­ler Umgang mit E‑Mails und E‑Mail Anhän­gen
  • Lau­fen­de Aktua­li­sie­run­gen der Betriebs­sy­ste­me und Pro­gram­me
  • Aktu­el­ler Viren­scan­ner

Tech­nisch kön­nen die­se Maß­nah­men durch­aus unter­stützt wer­den. Etwa in dem die Instal­la­ti­on von Patches auto­ma­ti­siert wird (Patch-Manage­ment), E‑Mails mit ver­däch­ti­gen Anhän­gen zuerst in eine Qua­ran­tä­ne gestellt wer­den (E‑Mail Secu­ri­ty), der Inter­net Ver­kehr durch Fire­walls über­wacht wird und vie­les mehr.

Wei­te­re Infor­ma­tio­nen:

Schreibe einen Kommentar