So einfach schützt Du deinen PC vor WannaCry und anderer Malware

So einfach schützt Du deinen PC vor der Ransomware WannaCry und anderer Malware

Microsoft hält selbst für das veraltete Windows XP einen Patch bereit, der die Sicherheitslücke schließt, welche Wannacry nutzt. WannaCry (oder Wanna Cry, WannaCrypt0r 2.0) ist eine Ransomware, welche die Daten des eigenen Windows-PCs verschlüsselt. Es erfolgt eine Lösegeldforderung von einigen Hundert Euro, die mit  BitCoins zu zahlen sind, um an seine Daten wieder zu gelangen. Nach Ablauf einer Frist von einer Woche sollen die Daten andernfalls unwiedebringlich gelöscht werden.

Entstehung: Laut http://www.heute.de/wanna-cry-cyberattacke-linus-neumann-vom-chaos-computer-club-sicherheitsluecke-aus-dem-giftschrank-der-nsa-47163100.html war der NSA die Sicherheitslücke längst bekannt. Um sie selbst nutzen zu können, wurde sie Microsoft nicht offengelegt. Durch einen Hacker-Angriff sei dann diese Lücke und ein Angriffs-Tool an die Öffentlichkeit geraten. Dadurch waren Kriminelle und fremde Geheimdienste in der Lage diese Schwachstelle zu nutzen, was mit WannaCry am Abend es 12.5.2017 eintraf und weltweit Rechner infizierte. Darunter waren unter anderem brittische Krankenhäuser betroffen, die nur noch eingeschränkt ihre Patienten versorgen konnten. Russland ist das Land, das am meisten betroffen ist. Es spricht deshalb einiges dafür, dass WannaCry aus Osteuropa stammt. Auf Grund des Codes ist auch Nordkorea im Verdacht.

Infektionsweg: Betroffen sind Windows-Rechner. WannaCry verbreitet sich höchstwahrscheinlich über E-Mail-Anhänge millionenfach verschickter E-Mails. Wer auf den infizierten Anhang einer dieser E-Mails klickt, hat nicht nur seinen Rechner infiziert, sondern damit auch nach und nach die Rechner des lokalen Netzwerkes angesteckt. Auf diesem Weg verbreitet sich WannaCry über ganze Firmennetze.

Weitere Informationen, Verbreitung, betroffene Dateien, unterstützte Sprachen, Screenshots: https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/

Schutz: Der wichtigste Schutz besteht also darin niemals der Versuchung nachzugeben unbekannte E-Mail-Anhänge oder Links von unbekannten E-Mail-Quellen zu öffnen. E-Mail-Anhänge gehören neben USB-Sticks so oder so zu den Hauptangriffswegen.

Der nächste Schutz besteht darin wichtige Dateien zu sichern. Als Datenträger kommen DVDs, CD-ROMs oder USB-Festplatten in Frage, die nicht permanent mit dem Netzwerk und dem Stromnetz (Blitzschlag) verbunden sind. Dateien können zudem durch einen Festplatten-Crash des Rechners gefährdet sein, weshalb eine Datensicherung immer sinnvoll ist. Verlangsamt sich der Zugriff auf die Festplatte, kann dies das Ende ihrer Lebenszeit ankünden. Mit Defraggler lässt sich dier Zustand der Festplatte beurteilen.

Vor allen Dingen sollte man die Sicherheits-Patches von Microsoft für Windows aufspielen. Die nachfolgenden Links führen zu diesen Patches. Wer Linux als Betriebssystem nutzt, braucht sich um WannaCry keine Gedanken machen.

Eine andere wichtige Maßnahme ist es die die Dateiendungen sichtbar zu machen, damit ausführbare Programme (.exe, .com u.s.w.) obskurer Herkunft überhaupt nicht versehentlich geöffnet werden. Im Zweifel empfehle ich immer wieder https://virustotal.com/ für eine Online-Untersuchung verdächtiger Dateien.

Wie entferne ich  WannaCry vom PC? Der sicherste Weg ist es die Festplatte zu formatieren und zu untersuchen, ob sich WannaCry eventuell in der Cloud, in den Servern und im Netzwerk verbreitet hat. Die Frage ist offen, was WannaCry angerichtet hat, wenn das infizierte Windows als Virtuelle Maschine installiert war. IT-Sicherheits-Experten haben nun noch mehr zu tun.


Das Startbild dieses Videos zeigt die Anweisungen, wie 300 Dollar Lösegeld mit BitCoins zu entrichten sind.

Patches: Microsoft bietet bereits seit März 2017 die Sicherheits-Patches MS17-010 an, die unter https://technet.microsoft.com/en-us/library/security/ms17-010.aspx zu finden sind. Doch viele Firmen haben die rechtzeitige Installation dieses Patches versäumt. Rechner, die die freie Virus-Software von Microsoft in Betrieb haben und automatische Windows Updates zulassen, sollen laut Microsoft geschützt sein.

Ausgewählte Links:

Für Windows 7 allgemein: http://www.catalog.update.microsoft.com/search.aspx?q=4012215

Für Windows 7 32 Bit direkter Link zum Download: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows6.1-kb4012215-x86_e5918381cef63f171a74418f12143dabe5561a66.msu

Inzwischen gibt es von Microsoft sogar einen Patch für das veraltete Windows XP:

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/#comment-24165

Für Windows XP, Windows Vista und Windows 8: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Der Patch für Windows XP war bei mir in ein paar Minuten installiert. Die Links zu den Patches können zeitweise überlastet sein. Sollte man den falschen Patch aufspielen wollen, kommt gleich zu Anfang eine Fehlermeldung. Man kann also nichts falsch machen.

Verbreitung vorerst gestoppt: Der Virus verbreitet sich weltweit. Besonders betroffen sind Krankenhäuser. Laut http://www.tagesschau.de/ausland/cyberangriff-107.html soll die Attacke bereits vorrübergehend gestoppt sein. Siehe dort unter ""Notfallschalter" gefunden – Attacke gestoppt?".  Ein 22-jähriger Britte hatte während seines Urlaubs den Code von WannaCry untersucht und dort einen Domaine-Namen gefunden, den er dann für ein paar Euro kaufte, um die Sache weiter zu verfolgen. Durch die Aktivierung dieser Domaine wurde der Notfall-Schalter von WannaCry aktiviert, womit zur positiven Überraschung seine Ausbreitung gestoppt war.

Allerdings könnten die Angriffe mit einer modifizierten Version wieder auftreten. Bereits befallenen Rechnern kommt dieser Umstand zu spät. Wie WannaCry gestoppt wurde ist auch unter https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html beschrieben.


Für Spezialisten: Das passiert auf einem infizierten Rechner.

Aktuelles: Aktuelle Entwicklungen können unter https://twitter.com/MalwareTechBlog oder mit der Google-Suche nach WannaCry verfolgt werden. Siehe auch https://de.wikipedia.org/wiki/WannaCry.

Anmerkungen: Es ist schon erstaunlich zu erfahren, dass Krankenhäuser, Stadtverwaltungen und große Konzerne es unterlassen haben notwendige Sicherheitspatches aufzuspielen, die schon seit Wochen zur Verfügung standen. Die Gründe, warum Patches nicht rechtzeitig installiert werden, sind: Der Rechner ist während des Updates nicht zu verwenden und nach dem Update können Programme nicht mehr funktionieren.

Bei geschätzen 1,5 Milliarden Windowsinstallationen sind im Vergleich dazu 300.000 betroffene Rechner relativ wenig. Der Medienwirbel lässt sich durch die große Angst vor weiteren und folgenschweren Angriff erklären. Die schwedische Bevölkerung ist gehalten sich für 72 Stunden Stromausfall zu rüsten. In der Ukraine haben Hackerangriffe bereits zu weiträumigen Stromausfällen geführt. Der Angriff hat auch eine positive Seite, denn durch ihn steigt in Firmen und bei Privatanwendern das Bewusstsein für mehr IT-Sicherheit.