Die meisten von euch werden es sicherlich mitbekommen haben: Am vergangenen Wochenende hat ein Kryptotrojaner namens "WannaCry" (auch u.a. "Wcrypt" und "WannaCrypt") weltweit über 200.000 Windows-Systeme infiziert, dabei Daten auf diesen verschlüsselt, Lösegeld gefordert und sich wie ein Wurm über lokale Netzwerke weiter verbreitet.
Vom Angriff betroffen waren neben Privatpersonen auch Organisationen und Unternehmen wie z.B. Krankenhäuser in Großbritannien, Fabriken von Automobilherstellern, Mobilfunkanbieter, die Deutsche Bahn sowie Parkautomaten und Werbetafeln.
Verbreitet hat sich "WannaCry" wohl typischerweise über E-Mails, zudem nutzte er die im März von Microsoft mit dem Update "MS17-010" (KB4013389) geschlossene SMB-Lücke (CVE-2017-0145) in mehreren Windows-Versionen auf nicht aktualisierten Systemen aus, um sich weiter zu verbreiten. Da auch ältere Windows-Versionen von der Schwachstelle betroffen sind und bislang keine Updates erhalten haben, hat Microsoft am Wochenende ausnahmsweise Notfall-Patches für Windows XP, Windows 8 und Windows Server 2003 veröffentlicht: blogs.technet.microsoft.com, blogs.technet.microsoft.com & blogs.technet.microsoft.com. Windows 10 ist wohl nicht der Lücke betroffen: microsoft.com.
Werbeblocker aktiv?
Vermutlich aufgrund eines Werbeblockers kann an dieser Stelle leider keine Werbung angezeigt werden. Als Blog ist diese Website jedoch darauf angewiesen, um diverse Kosten abdecken zu können. Vielleicht möchtest du Servaholics ja in deinem Werbeblocker als Ausnahme hinzufügen und so unterstützen? 🙂
Interessant ist, dass der Kryptotrojaner eine Art "Kill-Switch" enthält: Nachdem jemand eine bestimmte, vom Trojaner angefragte Domain gekauft hat, hat sich der Trojaner nicht mehr verbreitet. Problematisch war hierbei allerdings, dass bestimmte Anti-Viren-Programme den Zugriff auf die Domain blockiert haben - dadurch hat sich der Trojaner trotzdem weiterhin verbreitet.
Zwischenzeitlich hat das Bundeskriminalamt (BKA) Ermittlungen im Fall "WannaCry" aufgenommen, und das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat betroffene Institutionen aufgerufen, entsprechende Vorfälle zu melden: bsi.bund.de.
Bezahlt haben wohl bislang etwas über 100 Personen, woraus auf eine Lösegeldsumme von ca. 30.000 Euro geschlossen wird. Doch auch wenn die erste Welle des Trojaners vorerst zu Ende zu sein scheint, so kursieren wohl bereits neue Varianten von "WannaCry" z.B. ohne Kill-Switch oder mit anderen Domains.
Nutzer, die das Update noch nicht installiert haben, sollten dies möglichst sofort tun. Außerdem sollte man wie gewohnt bei E-Mail-Anhängen und ähnlichem vorsichtig sein und regelmäßig Backups wichtiger Dateien machen.
Quellen: heise.de, heise.de, de.engadget.com, heise.de, heise.de & heise.de