Wanna Cry

Grundsätzliches zu Wanna Cry

Wanna Cry ist eine Schadsoftware, die am 12. Mai 2017 und in den folgenden Tagen weltweit mehr als 230.000 Rechner infizierte. Gleichzeitig bezeichnet der Name Wanna Cry auch die mit Hilfe des Programmes durchgeführte Cyberattacke. Wanna Cry ist auch unter anderen Bezeichnungen bekannt: WannaCrypt, WanaCrypt0r, Wana Decrypt0r 2.0, WCRY, WNCRY.

Kennzeichnend für Wanna Cry ist seine zweifache Funktionsweise: Zum einen handelt es sich um einen Trojaner, also ein Programm, das unter falschem Namen dem Benutzer untergeschoben wird und, einmal ausgeführt, seine Schadwirkung entfaltet. Gleichzeitig ist Wanna Cry ein Computerwurm, also ein Programm, das sich selbst bei seiner Ausführung durch den Wirtsrechner selbst vervielfältigt und nach Möglichkeit über ein Netzwerk auf weitere Rechner überträgt. Letzteres geschieht zumeist über die Adresslisten und die Konnektivität legitimer Programme wie E-Mail-Clients. Andere Übertragungswege sind zum Beispiel infizierte Datenträger wie USB-Sticks. Wanna Cry selbst benutzt eine Sicherheitslücke in einem Netzwerkprotokoll von Windows-Systemen, um sich auch auf andere Rechner zu übertragen, selbst wenn dort der ursprüngliche Trojaner nie ankam oder ausgeführt wurde.

Würmer besitzen oft schon durch ihre Vervielfältigungsrate ein enormes Schadpotenzial, sind aber im Gegensatz zu Computerviren nicht programmiert, Software oder Hardware auf dem Wirtsrechner zu verändern oder zu beschädigen. Allerdings besitzen viele Würmer zusätzliche Funktionen, die eine Schadwirkung verursachen sollen, den sogenannten Payload. Im Fall von Wanna Cry besteht die Schadwirkung in der Verschlüsselung von Dateien auf der Festplatte des Computers und einer Lösegeldforderung, die nach erfolgter Zahlung die Entschlüsselung der Daten in Aussicht stellt. Es handelt sich damit um Ransomware, also um eine „Geiselnahme“ der Daten auf einem Rechner und einer Lösegeldforderung für ihre „Freilassung“.

Was passiert ist

Die Attacke begann am 12. Mai 2017, lief etwa eine Woche und ebbte bis zum 19. Mai deutlich ab. Auf den Bildschirmen infizierter Rechner erscheint eine Mitteilung, die den Benutzer in fehlerhaftem Englisch darüber informiert, dass „wichtige Daten“ auf seinem Rechner verschlüsselt wurden. Weiterhin wird zur Zahlung einer dreistelligen Summe (die Beträge variieren zwischen 300 und 600 US-Dollar) in Form der elektronischen Währung Bitcoin aufgefordert.

Wanna Cry zum Opfer gefallen sind im Wesentlichen Rechner mit Betriebssystemem der Windows-Serie Windows 10. Der Verteilungsmechanismus des Wurms beruht auf einer Schwachstelle in Microsofts Implementierung eines Netzwerkprotokolls. Diese Schwachstelle wurde mutmaßlich von der NSA entdeckt und nutzbar gemacht (Exploit). Nachdem die Hackergruppe The Shadow Brokers Schwachstelle und Exploit im April 2016 öffentlich gemacht hatte, veröffentlichte Microsoft im März 2017 Sicherheitspatches für alle Windows-Varianten, für die noch Support geboten wird (Windows 7 und jünger). Einen Tag nach Beginn der Cyberattacke lieferte Microsoft sogar noch Patches für Windows XP nach, also für ein System, das eigentlich keinerlei Updates mehr erhält. Im Ergebnis waren dann vor allem Windows 10-Computer betroffen, deren System nicht auf dem neuesten Stand war.

Während die Urheberschaft des zugrundeliegenden Exploits von Experten fast ausnahmslos der NSA zugeschrieben wird (der Geheimdienst äußert sich dazu allerdings – wie zu erwarten - nicht), ist bislang völlig unklar, wer für die eigentliche Hackerattacke letztlich verantwortlich ist. Ähnlichkeiten im Code des Wurms legen als Urheber kriminelle Hackergruppen wie die Lazarus Group nahe, andere Spekulationen deuten auf eine Regierungsbeteiligung hin. Vor allem Nordkorea zählt zu den Verdächtigen, das Land hat aber jegliche Beteiligung an der Attacke dementiert.

Betroffen von Wanna Cry – was nun?

Aus Sicht der Urheber von Wanna Cry war die Attacke alles andere als ein triumphaler Erfolg. Nachdem durch Experten und Medien davon abgeraten wurde, Lösegeld in Form von Bitcoins an die Erpresser zu bezahlen, scheint bislang tatsächlich eher wenig Geld geflossen zu sein. So wenig sogar, dass die Opfer von Wanna Cry wenige Tage nach dem ursprünglichen Angriff eine „Mahnung“ auf ihren Bildschirmen vorfanden: eine Meldung, die sie aufforderte, nun bitte doch bald das Geld anzuweisen.

Darüber hinaus offenbarte die Malware auch technische Schwächen: Im Code der Software enthalten ist zum Beispiel eine Internetadresse. Diese Adresse war ursprünglich nicht registriert und wurde von dem Wurm dazu genutzt, festzustellen, ob er sich auf einem frei kommunizierenden Rechner befindet oder auf einem in Quarantäne. Offenbar sollte diese Maßnahme dazu dienen, die genauere Analyse durch Experten zu erschweren. Als die Internetadresse dann registriert wurde, stellte sich heraus, dass dieser Umstand die Malware und ihre Weiterverbreitung stilllegte. Hierdurch wurde eine große Zahl von Neuinfektionen vermieden.

Für diejenigen, die Wanna Cry zum Opfer gefallen sind, gibt es Grund zu vorsichtigem Optimismus. Der Wurm verschlüsselt keineswegs die gesamte Festplatte. In vielen Fällen wurden lediglich Dateien in Ordnern wie Eigene Dokumente und dergleichen erfasst. Es lohnt sich also genau nachzusehen, welche Daten überhaupt betroffen sind. Zum jetzigen Zeitpunkt, gut eine Woche nach dem ursprünglichen Angriff, werden auch bereits die ersten Entschlüsselungstools mit Namen wie WannaKey oder WannaKiwi veröffentlicht. Es besteht für Betroffene also durchaus Hoffnung darauf, zumindest einen Teil ihrer Dateien wiederzubekommen.

Vorbeugung und Schutz

Auch wenn derzeit die Heftigkeit von Wanna Cry nachgelassen hat und kaum noch Neuinfektionen hinzukommen; endgültige Entwarnung kann bislang noch nicht gegeben werden. Zum einen folgen dem ursprünglichen Wurm neue, verbesserte Varianten nach, zum anderen ist es nur eine Frage der Zeit, bis neue Exploits neue Malwares mit sich bringen. Wenn Sie Computer gewerblich nutzen oder in Ihrem Unternehmen sogar eine komplette EDV-Infrastruktur in Betrieb halten müssen, sollten Sie sich grundsätzlich an Fachleute halten, die mit Ihnen Strategien zum Schutz ihrer IT ausarbeiten. Diese Herangehensweise war vor Wanna Cry sinnvoll, und sie ist es nun umso mehr. Unabhängig davon gibt es aber eine Reihe von Maßnahmen, die zum Schutz privat genutzter Rechner genauso sinnvoll ist wie für Netzwerke in Unternehmen:

• Sorgen Sie für regelmäßige Updates – sowohl des Betriebssystems als auch von Anwendungsprogrammen.
• Installieren Sie ein gutes Antivirenprogramm und halten Sie auch dieses immer auf dem neuesten Stand.
• Meiden Sie den Besuch auf fragwürdigen Webseiten. Nutzen Sie moderne Browser auf dem neuesten Stand. Wenn Ihr Browser der Ansicht ist, dass eine Seite nicht sicher sei, dann bleiben Sie dort besser fern.
• Öffnen Sie keine Dateien, deren Quelle Sie nicht vertrauen. Besonders misstrauisch sollten Sie gegenüber ausführbaren Dateien mit Endungen wie .exe, .bat oder .com sowie Office-Dokumenten wie .doc, .docx, .xls, .xlsx usw. sein. Auch PDF-Dokumente (.pdf) sind nicht sicher!
• Öffnen Sie keine E-Mail-Anhänge, deren Quelle Sie nicht vertrauen. Seien Sie auch hier besonders misstrauisch gegenüber ausführbaren Dateien und Office-Dokumenten.
• Schließen Sie keine USB-Sticks an ihren Rechner an, deren Herkunft Sie nicht kennen. Seien Sie auch bei USB-Sticks von Freunden und Bekannten vorsichtig, vielleicht sind die Datenträger infiziert, ohne dass ihre Besitzer dies selbst wissen.