Vom 12. Mai an hat sich ein gewaltiger Ransomware-Angriff auf der ganzen Welt ausgebreitet: Dabei wurden die Datendateien von Opfern in über 150 Ländern verschlüsselt. Tausende von Einzelpersonen und großen Organisationen in aller Welt wie FedEx oder der britische National Health Service, Telefonica in Spanien oder Renault in Frankreich, sogar die staatliche Polizei in Indien gerieten in die Fänge der erpresserischen Malware.
Verschlüsselte Computer zeigen Lösegeldforderungen über Hunderte von Dollar in Bitcoin an, wobei die Freigabe der Dateien keineswegs garantiert ist.
Wie verbreitet sich WannaCry?
Darauf war die Welt nicht gefasst: WannaCry verbreitete sich rasant und infizierte in nur wenigen Stunden Hunderttausende von Computern. Diese Geschwindigkeit und dieses Ausmaß sind auf einige Faktoren zurückzuführen:
Erstens: Im Gegensatz zu gewöhnlicher Ransomware, die sich über infizierte E-Mail-Anhänge oder Websites verbreitet, hat WannaCry auch Merkmale eines Wurms. Computerwürmer verbreiten sich anders als Viren nicht, indem sie Dateien infizieren, sondern über Netzwerke, wobei sie nach Sicherheitslücken in anderen verbundenen Computern suchen. Das heißt: Sobald ein Computer im Netzwerk infiziert ist, konnte der Wurm weiterwandern und sie alle infizieren.
WannaCry nutzt einen dem Vernehmen nach von der NSA entwickelten Windows-Exploit
Zweitens: Der WannaCry-Wurm nutzt einen Exploit aus, der dem Vernehmen nach von der NSA entwickelt und durch die Hacker-Organisation The Shadow Brokers der Öffentlichkeit zugänglich gemacht wurde. Der Exploit macht sich eine Sicherheitslücke im SMB-Protokoll (Server Message Block) von Windows zunutze, das von Geräten zur Kommunikation in einem freigegeben Netzwerk verwendet wird. Er sucht insbesondere nach PCs, auf denen der Samba-TCP-Port 445 zugänglich ist.
Bis zu seiner Freisetzung war dieser Exploit völlig unbekannt (ein Zero-Day-Threat) und Microsoft war erst im März imstande, einen Patch zu veröffentlichen. Aber Millionen müssen die Patches immer noch installieren und ältere Versionen von Windows, die von Microsoft nicht mehr unterstützt werden, erhielten überhaupt keine Benachrichtigung zum Update. Microsoft hat seitdem auch Patches für die älteren Systeme bereitgestellt: Wenn Sie Windows 8 oder früher verwenden, sollten Sie diese schleunigst installieren.
Damit wurde der Dschinn aus der Flasche gelassen und es ist mit neuen Varianten dieser Ransomware zu rechnen.
Wer war betroffen?
Gemäß unseren Daten waren (in dieser Reihenfolge) vor allem die folgenden Länder betroffen: Russland, Ukraine, Taiwan, Indien, Brasilien, Thailand, Rumänien, Philippinen, Armenien und Pakistan. Über die Hälfte der von uns verzeichneten Angriffsversuche fanden in Russland statt.
Auch große Institutionen, besonders Krankenhäuser und andere öffentliche Einrichtungen, waren schwer betroffen. Viele davon sind für ihren Betrieb auf veraltete System angewiesen und können ganz einfach ihre Systeme nicht aktualisieren.
Aber viele Einzelpersonen hatten es versäumt, die im März veröffentlichten Sicherheits-Patches zu installieren. Für ältere, von Microsoft nicht mehr unterstützte Versionen von Windows waren bis zu dem Wochenende, an dem der Angriff erfolgte, nicht einmal Sicherheits-Patches zum Installieren vorhanden.
Droht meinem Computer Gefahr durch WannaCry?
Wenn Sie einen Windows-Computer betreiben, sind Sie möglicherweise durch diese Ransomware gefährdet. Hier nennen wir einige Schritte, die Sie sofort durchführen sollten, um geschützt zu bleiben:
1. Windows-Betriebssystem mit den neuesten Sicherheits-Patches aktualisieren
Microsoft hat Windows-Sicherheits-Updates für diese Sicherheitslücke veröffentlicht, als diese im März durch die Shadow Brokers bekannt wurde. Die Schwachstelle ist so schwerwiegend, dass Microsoft sogar Sicherheits-Patches für Windows-Versionen veröffentlicht hat, die nicht mehr unterstützt werden, z. B. Windows XP und Vista (Sie finden sie hier).
Allerdings haben Millionen Benutzer diese Updates ignoriert. Sie sollten wirklich nicht dazu gehören.
2. Aktuelle Antivirus-Software installieren
Der NSA-Exploit wurde sehr schnell für bösartige Zwecke umfunktioniert. Das heißt, die Sicherheits-Patches von Microsoft allein reichen gegen Angriffe nicht aus. Eine neue Variante ist wahrscheinlich schon in Arbeit. Ein gutes Antivirus-Programm mit Anti-Ransomware-Funktionen ist für die Abwehr der sich ständig weiterentwickelnden Bedrohung durch Ransomware unerlässlich.
3. Von jetzt an Backups Ihres Computers erstellen
Wie viele andere haben wahrscheinlich auch Sie diesen Rat schon gehört, aber ignoriert. Aber externe Festplatten kosten nicht viel und Backups sind leicht erstellt. Es gibt also keine Entschuldigung. Wöchentliche Backups sind für die meisten Menschen mehr als ausreichend und können Ihnen unendlich viel Ärger ersparen, falls Sie infiziert werden.
4. Auf Phishing-E-Mails und -Websites achten
Die Wurm-Komponente von WannaCry hat zwar seine Ausbreitung begünstigt, am Anfang standen jedoch die üblichen Phishing-E-Mails und bösartigen Links. Überprüfen Sie E-Mails und Links, bevor Sie darauf klicken. Sie wissen nicht, worauf Sie achten müssen? Dafür haben wir einen praktischen Test.
Blockiert AVG WannaCry?
Ja. Alle Sicherheitsprodukte von AVG erkennen die WannaCry-Ransomware. Sogar AVG AntiVirus Free geht über die normalen Codesignaturen hinaus und nimmt das tatsächliche Verhalten der installierten Anwendungen unter die Lupe. Das bedeutet: Auch wenn Sie nicht wissen, wie die nächste Variante aussehen wird, kann AVG sie abfangen, wenn sie aktiv wird.
Mein Computer ist mit WannaCry infiziert. Was soll ich tun?
Verschlüsselung ist ein hocheffizientes Tool zum Schutz von Informationen, aber aus demselben Grund wird sie zu einem massiven Problem, wenn sie für schädliche Zwecke genutzt wird. Wenn Ihr Computer mit der WannaCry-Ransomware infiziert ist, stellen Sie sich darauf ein, dass Sie Ihre Daten möglicherweise nicht wiederherstellen können. Hier sind einige Empfehlungen für den Fall, dass Ihr Computer infiziert ist:
1. Zahlen Sie das Lösegeld nicht!
Gleichgültig, was passiert: Wir empfehlen, das Lösegeld nicht zu zahlen. Wir wissen, dass dies nicht sehr einfühlsam wirkt, wenn Ihre persönlichen Fotos oder für Ihre Arbeit wichtige Dateien gefährdet sind. Es gibt jedoch keinerlei Garantie, dass Ihre Dateien entschlüsselt werden. Die Täter könnten sich einfach mit Ihrem Geld aus dem Staub machen.
Niemals Lösegeld zahlen: Es gibt keine Garantie, dass Sie Ihre Dateien zurückbekommen
Wenn Sie zahlen, werden solche Machenschaften nur noch attraktiver. Und jeder Kontakt mit den Angreifern gibt ihnen mehr Möglichkeiten, Ihren Computer mit weiterer Malware zu infizieren.
2. Computer vom Internet trennen
Ziehen Sie den Stecker Ihres WLAN-Routers, ziehen Sie die Ethernet-Kabel von Ihrem Computer ab. Isolieren Sie ihn vom Internet, soweit nur irgend möglich. Hindern Sie die Malware daran, sich zu anderen Benutzern weiter zu verbreiten oder weitere Anweisungen von ihren Machern zu empfangen.
3. Aus Backup wiederherstellen
Wenn Sie Best Practices befolgt haben und über ein Backup auf einer externen Festplatte verfügen, können Sie Ihre Daten von dieser wiederherstellen. Stellen Sie sicher, das Sie alles auf Ihrem System vollständig löschen und Windows von Grund auf neu installieren, bevor Sie Ihr Backup mit Ihrem Computer verbinden. Am besten ist es, nicht einmal eine Verbindung zwischen dem Computer und Internet zuzulassen, während Ihre Backup-Festplatte angeschlossen ist – um ganz sicher zu gehen.
4. Wiederherstellung von Dropbox, Google Drive oder anderen cloudbasierten Speichern
Wenn Sie das Backup Ihrer Dateien in einem Online-Speicher abgelegt haben, ist es möglich, dass Ihre lokalen Dateien verschlüsselt und dann in die Cloud synchronisiert wurden. Der erste Schritt ist also, die Synchronisierung Ihres Smartphones, Tablets oder anderen mit der Cloud verbundenen Geräts so bald wie möglich aufzuheben.
Greifen Sie dann über einen Browser auf einem nicht infizierten Computer auf den Dienst zu. Es sollte möglich sein, auf den Versionsverlauf Ihrer Dateien zuzugreifen und eine ältere, nicht verschlüsselte Version davon wiederherzustellen.
5. Tool zur Entschlüsselung von Ransomware verwenden
Wir arbeiten intensiv an einem Entschlüsselungs-Tool, mit dem Sie möglicherweise Ihre Dateien wiederherstellen können. Wenn es einsatzbereit ist, finden Sie es hier.