Worum handelt es sich bei WannaCry?

Der Computervirus WannaCry, auch WanaCrypt0r 2.0 genannt, hat sich im Mai 2017 weltweit ausgebreitet. Unter den vom Schadprogramm betroffenen Opfern sind zahlreiche Unternehmen und Organisationen, u.a. Portugal Telecom, Deutsche Bahn, FedEx, Renault, das russische Innenministerium, die Universität Mailand-Bicocca und viele mehr. Die schwindelerregende Zahl von betroffenen Computern macht ihn zu einem der größten Angriffe aller Zeiten. Der Computervirus fällt in die Kategorie Ransomware: Er verschlüsselt Dateien aller Art auf dem Computer und die Erpresser fordern für die Entschlüsselung Lösegeld. Der Ursprung von WannaCry ist bisher unbekannt; Forscher folgen aktuell einer nordkoreanischen Spur. Auf den ersten Blick scheint es so, dass WannaCry den von der NSA entdeckten EternalBlue-Exploit benutzt, der von der Hacker-Gruppe The Shadow Brokers gestohlen wurde. Der Virus verbreitet sich durch infizierte E-Mails und installiert sich automatisch auf dem PC des Opfers, indem er den Zugang zu allen Dateien mit der Erweiterung .WCRY blockiert. An diesem Punkt kann man den angegriffen Computer nicht mehr neustarten. In einer Datei mit dem Namen „@Please_Read_Me@” steht die Lösegeldforderung in BitCoins: umgerechnet 300 US-Dollar bei einer Bezahlung innerhalb von drei Tagen, danach 600 US-Dollar. Nach einer Frist von einer Woche werden alle Dateien unwiderruflich gelöscht. Für Unternehmen ist die Gefahr sehr groß, da sich die Malware nach der Infektion eines Computers selbständig im Netzwerk verbreitet.

Wie können Sie Ihr Unternehmen schützen?

Die Europol hat sofort Ermittlungen eingeleitet, um die Verantwortlichen schnellstmöglich ausfindig zu machen. Die Situation wird laufend überwacht. "Wir waren darauf vorbereitet, deshalb ist Deutschland mit einem blauen Auge davon gekommen", so A. Schönbohm, Chef des Bundesamts für Sicherheit in der Informatiktechnik im RBB-Interview. Für die Behörden sei die Situation unter Kontrolle und es gibt aktuell keine weiteren Fälle neuer Infektionen. Um sich vor einer Infektion zu schützen, empfehlen wir, neben einem Backup, folgende Sicherheitsvorkehrungen zu treffen: Client:

• Installieren Sie das Sicherheitsupdate für Microsoft Windows-Systeme mit dem Sicherheitsbulletin MS17-010 14. März 2017.
• Upgraden Sie Ihre Antivirensoftware.
• Deaktivieren Sie folgende Services, falls möglich: Server Message Block (SMB) und Remote Desktop Protocol (RDP).
• Die Ransomware verbreitet sich auch durch Phishing, öffnen Sie daher keine Links/Anhänge von verdächtigen E-Mails.
• Die Ransomware attackiert sowohl Netzwerkfreigaben als auch Cloud-Backups. Überprüfen Sie deshalb auch Ihre Sicherheitskopien und speichern Sie Ihre sensiblen Daten getrennt vom restlichen System.

Perimeter-Sicherheit:

• Führen Sie regelmäßig Sicherheitsupgrades Ihrer Netzwerksysteme, die entdeckte Angriffe (IPS/IDS) abwehren können, durch.
• Sofern dies möglich ist, sperren Sie den gesamten eingehenden Datenverkehr: Server Message Block (SMB) und Remote Desktop Protocol (RDP).