WannaCry: Was ist passiert? Was kann ich tun?

Am vergangenen Wochenende wurden rund 200'000 Computer in 150 Ländern von Malware befallen. Was genau geschah und was bei Ransomware hilft. PCtipp erklärt.

von Florian Bodoky, dpa,vof 15.05.2017

Bei der Attacke am vergangenen Wochenende sind geschätzte 200'000 Computer in 150 Ländern von der Ransomware WannaCry befallen worden – mit einem Schwerpunkt in Russland, der Ukraine und Taiwan. Die Rechner wurden von sogenannten Erpressungs-Trojanern befallen, die sie verschlüsseln und Lösegeld verlangen. Britische Experten hatten im Code der Schadsoftware eine von den Autoren eingebaute Notbremse gefunden, welche die Ausbreitung des Erpressungs-Trojaners vorerst stoppte.

In Deutschland übernahm das Bundeskriminalamt am Samstag die Ermittlungen, und auch in der Schweiz befasst sich die Melde- und Analysestelle Informationssicherung des Bundes (Melani) mit den Vorfällen. Gemäss Melani-Leiter Pascal Lamia seien auch in der Schweiz Opfer der Attacke zu finden. Anders als in Deutschland, Grossbritannien und anderen westeuropäischen Staaten habe es aber keine schwerwiegenden Vorfälle in öffentlichen Institutionen gegeben. Man geht von circa 200 verseuchten PCs aus. Die Gefahr ist aber trotzdem gross, wie eine Untersuchung von Advact zeigt. Testweise hat man gut 21'000 Angestellten von Unternehmen Ransomware-verseuchte Mails zugesandt. Rund 8,3 Prozent von ihnen haben die Mail samt Attachment geöffnet. 

Nach dem Befall mit der Ransomware stehen nun Tausende Unternehmen und Verbraucher vor der bangen Frage, ob sie in Kauf nehmen, dass ihre Daten in wenigen Tagen unwiederbringlich verloren gehen könnten – oder ob sie das geforderte Lösegeld bezahlen. Die Angreifer haben straffe Fristen gesetzt: Jetzt wollen sie 300 US-Dollar für die Entsperrung, ab dem 15. Mai das Doppelte – und am 19. Mai werden alle Daten angeblich gelöscht. In einigen früheren Fällen war es gelungen, den Verschlüsselungsmechanismus der Angreifer auszuhebeln. Diesmal wird das aber allein schon durch die geringe Zeitspanne erschwert.

Neu am Angriff vom Freitag war, dass der Erpressungs-Trojaner von allein neue Computer ansteckte, ohne dass ein Nutzer etwa auf einen präparierten Link klickte. Dadurch konnte sich das Schadprogramm binnen weniger Stunden weltweit ausbreiten und erreichte ein für Lösegeld-Software beispielloses Ausmass.

NSA-Sicherheitslücke verantwortlich – Microsoft-Patch war schon vorhanden

Das wurde erst möglich, weil das Programm laut Experten eine Sicherheitslücke ansteuerte, die ursprünglich der US-Abhördienst NSA für potenzielle Überwachungen gehortet hatte, statt sie Microsoft zu melden. Vor einigen Monaten hatten Hacker sie aber öffentlich gemacht. Microsoft hatte zwar schon Anfang des Jahres ein Update veröffentlicht, das die Schwachstelle schloss – aber jetzt traf es die Computer, auf denen das Update noch nicht installiert wurde. Nach der Attacke stellte der Konzern schnell auch ein Update fürs veraltete Windows XP bereit, das eigentlich nicht mehr gewartet wird. Die Attacke traf laut Experten viele XP-Rechner.

Am Freitag hatten die Folgen der Attacke viel Aufsehen erregt. In Grossbritannien wurden Spitäler lahmgelegt, in Spanien war der Telekom-Konzern Telefónica betroffen und in den USA der Versanddienst FedEx. Renault stoppte am Samstag die Produktion in mehreren französischen Werken, um die Ausbreitung der Schadsoftware zu verhindern, wie es hiess.

Die europäische Ermittlungsbehörde Europol sprach von einem beispiellosen Ausmass der Attacke und regte ein internationales Vorgehen der Behörden an, um die Hintermänner zu finden.

Auf der nächsten Seite: Automaten, Anzeigetafeln, Krankenhäuser – alles down! und: Wie sich die Malware ausbreitete

In Deutschland fielen teilweise digitale Anzeigetafeln sowie Ticketautomaten an Bahnhöfen der Deutschen Bahn aus. Auch die Technik zur Videoüberwachung war einem Sprecher des Bundesinnenministeriums zufolge betroffen. Die Bahn war zunächst das einzige Unternehmen in Deutschland, von dem bekannt wurde, dass es betroffen war. Nach Angaben des Konzerns war der bundesweite Zugverkehr allerdings nicht beeinträchtigt. Das Bundeskriminalamt nahm Ermittlungen auf. Netze der Bundesregierung seien nicht betroffen gewesen, teilte das Innenministerium mit.

Erpressungs-Trojaner werden von IT-Sicherheitsexperten als immer grösseres Problem gesehen. Klassische Antiviren-Software ist bei Erpressungs-Trojanern oft machtlos. Zugleich können die Angreifer mit dem Lösegeld, das viele Nutzer zahlen, weitere Attacken finanzieren. Meist werden Privatpersonen Opfer von Erpressungsprogrammen. Im vergangenen Jahr traf es zum Beispiel aber auch deutsche Gemeindeverwaltungen. Die Waffe der Angreifer war jetzt Experten zufolge die Schadsoftware Wanna Decryptor, auch bekannt als WannaCry.

Der Angriff zog weltweit Kreise. Beim russischen Innenministerium fielen rund 1000 Computer aus. Das entbehrt nicht einer gewissen Ironie, denn in westlichen IT-Sicherheitskreisen wurden hinter der Veröffentlichung der NSA-Daten Hacker mit Verbindungen zu russischen Geheimdiensten vermutet. Die Netze anderer russischer Behörden hätten dem Angriff aber standgehalten, hiess es. In Schweden waren 70 Computer der Gemeinde Timrå betroffen, in Portugal der Telekom-Konzern Portugal Telecom.

So breitete sich die Malware aus

Die New York Times hat derweil eine interaktive Weltkarte aufbereitet, die im Zeitraffer die fortschreitende Verbreitung der Malware zeigt. Zu finden ist die Karte auf der entsprechenden Website der New York Times.

Lesen Sie auf der nächsten Seite: Wie infizieren sich Computer mit Ransomware? Was kann man dagegen tun?

Wie infizieren sich Computer mit Ransomware?

Ransomware verbreitet sich in der Regel über E-Mail-Anhänge. Die Mails sind professionell designed und verfasst – und liefern plausible Gründe, weshalb man den E-Mail-Anhang öffnen sollte. Selbst die Schweizer Behörden oder bekannte Unternehmen wie die Swisscom, die Post oder Coop wurden schon als angebliche Absender solcher Mails missbraucht. Einmal infiziert, verschlüsselt Ransomware Dateien auf dem Computer des Opfers sowie auf allfällig verbundenen Netzlaufwerken. Die verschlüsselten Dateien werden dadurch für das Opfer unbrauchbar. Erst wenn eine Art Lösegeld, in der Regel in Form von Bitcoins, an die Angreifer bezahlt wird, werden die Daten freigegeben. Eine Garantie dafür gibt es allerdings nicht. Was für Private mühsam ist, ist für KMU, die immer häufiger Ziele solcher Attacken werden, noch schlimmer. Oftmals werden unternehmenskritische Daten wie beispielsweise Verträge sowie Kunden- und Buchhaltungsdaten verschlüsselt und so unbrauchbar. Diese Art der Attacken nehmen immer mehr zu, auch wenn Pascal Lamia, Leiter von Melani, auf Nachfrage Ransomware-Angriffe nicht quantifizieren konnte. Die Schweiz sei dank ihrer guten und modernen Vernetzung für Angreifer jedoch ein lohnendes Ziel.

Ein Beispiel: Im Jahr 2015 wurde Melani unter anderem auf die Verschlüsselungs-Malware TeslaCrypt aufmerksam, die noch bis Mitte Mai 2016 aktiv war. Seit Dezember letzten Jahres breitete sich die Schadsoftware, die Daten verschlüsselt und anschliessend ein Lösegeld fordert, rasch in der Schweiz aus. Die neue Variante verbreitete sich hauptsächlich über infizierte E-Mail-Anhänge (ein Anhang des Typs .zip, der eine Datei des Typs .js beinhaltet). Einmal installiert, verschlüsselte TeslaCrypt Dateien, die sich auf dem Computer befinden. Dem Opfer wurde anschliessend eine Meldung präsentiert, in der die Kriminellen eine Geldforderung stellten. Im Gegenzug sollte das Opfer den Schlüssel erhalten, mit dem die Dateien wiederhergestellt werden können. Verschiedene Antivirenprodukte reagierten zwar auf diese Schadsoftware. Dann war es aber meistens zu spät, weil die auf dem Computer vorhandenen Dateien bereits verschlüsselt waren. In diesem Fall war deshalb nicht die Entfernung der Schadsoftware das Problem, sondern die Wiederherstellung der ursprünglichen Daten.

Inzwischen weiss man: Die TeslaCrypt-Drahtzieher haben im Mai 2016 quasi ihren Laden geschlossen und den Masterschlüssel zum Dechiffrieren der in Geiselhaft genommenen Daten zur Verfügung gestellt. Trotz dieser überraschenden Wende bei TeslaCrypt kann dieser als sehr typisches Beispiel für eine Vielzahl von Erpressungs-Trojanern gelten.

Was kann man gegen Ransomware unternehmen?

Ransomware, bzw. die Gefahr einer Infektion, kann man am besten mittels Prävention bekämpfen. Hier gilt: Die simpelsten Vorkehrungen, wie regelmässige Updates von Software und Betriebssystem, Misstrauen gegen E-Mails mit fragwürdigem Absender und regelmässige Backups von Daten helfen am besten (Backup – aber sicher!). Speziell das Einspielen von Updates für das Betriebssystem ist von elementarer Wichtigkeit. Kommen die Updates nicht automatisch, helfen diese Tipps, um die Patches manuell zu installieren.

PCtipp hat an dieser Stelle sieben Präventionsstategien gegen Ransomware ausgearbeitet. 

Was tun, wenn es bereits zu spät ist?

  • Den Computer sofort von allen Netzwerken trennen. Danach ist eine Neuinstallation des Systems und das Ändern aller Passwörter unumgänglich.
  • Backup aufspielen. Wenn kein Backup der Daten vorliegt, ist es empfehlenswert, die verschlüsselten Daten zu behalten und zu sichern, damit Sie sie allenfalls später noch entschlüsseln können, sollte hierzu eine Lösung gefunden werden (wie es bei TeslaCrypt der Fall war).
  • Die Koordinationsstelle zur Bekämpfung der Internetkriminalität (Kobik) über den Angriff informieren. Zusätzlich Anzeige bei der lokalen Polizeistelle erstatten.
  • Kein Lösegeld bezahlen! Eine Garantie für die Entschlüsselung gibt es nicht, stattdessen stärkt man damit die kriminellen Infrastrukturen.
  • Die Ransomware googeln. Gegen WannaCry ist man zwar derzeit noch machtlos, aber viele immer noch aktive Verschlüsselungsviren wurden schon geknackt. Eine Auswahl an Tools gegen häufige Viren hat PCtipp hier getestet und zur Verfügung gestellt.