WannaCry Update - nur ein kurzes Schluchzen
Alles nicht so schlimm: Hoffnung für Betroffene durch Entschlüsselungsprogramme

WannaCry: nur ein kleiner (aber bissiger) Fisch, im Meer der Ransomware

Mit 0,1% aller in Deutschland versuchten Malware-Angriffe ist die Verbreitung von WannaCry im Gegensatz zu solchen wie Locky fast schon verschwindend gering. Locky, der sich vor gut einem Jahr ausbreitete, hatte in den ersten Tagen bereits fast 450.000 Rechner befallen und konzentrierte sich stark auf Deutschland. Ein großes öffentliches Unternehmen wie die Bahn hat es damals aber nicht getroffen. Der Aufschrei blieb verhältnismäßig gering.

Neben dieser öffentlichen Relevanz, die durch ausgefallene Bahnsteigtafeln und chaotische Situationen in britischen Krankenhäusern überdurchschnittlich viele Nicht-IT-Versierte erreichte, kann aber auch die Verbreitungsweise des Trojaners maßgeblich für die mediale Ausbreitung des Themas sein. Dieser nutzt nämlich wie wir bereits berichteten die sogenannte „Eternal Blue“ Systemlücke. Diese ermöglicht, dass sich die Ransomware nicht nur über schadhafte E-Mail, sondern auch über firmeninterne Strukturen von Rechner zu Rechner weiterverbreiten kann. Wenn also ein Kollege eine schadhafte Mail öffnet, liegt bald womöglich das gesamte Unternehmen mit der WannaCry-Grippe flach.

Am stärksten ist Windows 7 betroffen, nicht wie vermutet XP!

Anders als zuletzt noch vermutet, sind die meistbefallenen Systeme nicht Windows XP-Rechner, sondern die Generation der Windows 7 Betriebssysteme. Das liegt aber nicht zuletzt daran, dass eben diese Version die noch immer meist verbreitete Version ist. Der Befall von Windows 10-Rechnern ist weiterhin gering. Nach wie vor gilt, dass Befälle durch fehlende Updates verursacht wurden. Entweder, weil diese durch veraltete Betriebssysteme nicht mehr unterstützt wurden oder Benutzer die Updatefunktion schlichtweg blockiert haben.  

Unser Partner ESET war vorbereitet

Hier noch eine Nachricht, die uns sehr zufrieden stimmt und in unserer Arbeit bestätigt, die stets auf die Sicherheit der Systeme unserer Kunden besonnen ist: unser Partner ESET hat bei Nutzern seiner Systeme bisher keine WannaCry Befälle verzeichnet.

Bereits seit kurz nach Bekanntgabe der Lücke in den Windows-Betriebssystemen sicherte der Virenscan-Experte die Produkte Endpoint Security, Smart Security (Premium) und Internet Security durch Blockierung der Freigabe von Informationen ab. Bei allen anderen Produkten ohne derartige Firewall wurde eine Erkennung eingebaut, die ebenfalls gegen die unterschiedlichen Varianten von WannaCry schützt. Dieses vorrausschauende Handeln schätzen wir an unserem Partner ESET besonders und verwenden seine Programme deshalb oft bei unseren Kunden. Allgemeine Informationen zum Schutz gegen Ransomware finden Sie auch auf der ESET-Website.

Nicht zahlen, freie Entschlüsselung ist möglich!

Die Devise lautet weiterhin: Wenn Sie von WannaCry betroffen sind, zahlen Sie nicht! Bisher sind keine Fälle bekannt, in denen das Lösegeld bezahlt wurde und dann die Daten freigegeben wurden.

Mittlerweile wurden auf der Entwicklerplattform auch zwei Entschlüsselungsprogramme entwickelt. So konnte die Verbreitung des Trojaners nicht nur eingedämmt werden, sondern verschlüsselte Daten teils wiederhergestellt werden. Das funktioniert aber nur unter bestimmten Bedingungen.

Das erste Programm trägt den Namen „WannaKey“. Er funktioniert, in den geheimen Schlüssel mit dem die Daten verhüllt werden, zurück rechnet.

Faktoren für die erfolgreiche Entschlüsselung:

• Der Computer darf nach der Infektion nicht ausgeschaltet werden, sonst verschwindet das Protokoll, das den Schlüssel enthält
• Der Pfad zum Schlüssel muss an der in der Entschlüsselungssoftware berücksichtigten Stelle abgelegt sein
• Der Erfolg der Entschlüsselung scheint abhängig von den Betriebssystem-Versionen zu sein

Eine Weiterentwicklung dieses Programmes stellt „WannaKiwi“ dar, das mit den verschiedenen Betriebssystemen solider umgeht und weiteren Erfolg verspricht. Nach Testen von Heise Online gibt es aber weiterhin Probleme mit befallenen Windows 10-Systemen. Die IT-Plattform merkt an, das eine Rettung nicht immer möglich ist. Mehr Informationen zu WannaKey auf der Entwicklerplattform GitHub.

Noch ist die WannaCry-Grippe nicht auskuriert – lassen Sie sich mit Backups und Updates impfen!

Die Eigenart von Trojaner ist es, sich im Laufe Ihrer Verbreitung zu entwickeln, also folglich zu modifizieren. So wie sich Grippeviren verändern und Leute deshalb ein zweites Mal daran erkranken können, ist es auch möglich, dass WannaCry eine zweite Welle mit sich zieht. So geschah es auch bei Locky etwa drei Wochen nach Erstbefall. Wir dürfen also gespannt bleiben, was wir noch von WannaCry hören.  

Wir finden es gut, dass durch Vorfälle wie die durch Locky oder jetzt WannaCry, die Öffentlichkeit sensibler für Cyberkriminalität geworden ist. Zuvor wurde dies nämlich oft unterschätzt. Aber: der Rummel um WannaCry war zusätzlich von der Presse aufgebauscht. Ein Backup und regelmäßige Updates sind eben immer noch das Wichtigste. Das sollte zur Routine gehören, dann muss keine IT-Panik ausbrechen!

Sprechen Sie uns an für Ihren Impfstoff in Form von Updates und Backup!