Es gibt neue Informationen zur Ransomware WannyCry. So wurden modifizierte Versionen gesichtet und es gibt neue Erkenntnisse. Hier ein kurzer Abriss.
Anzeige
Freitag und am Wochenende hat die Ransomware WannyCry, WannaCrypt oder wie man diese nennen mag ja sowohl Administratoren als auch Medien in Atem gehalten. Könnte nur eine kurze Atempause gewesen sein.
Neue Varianten gesichtet
Die erste Version der Ransomware war ja mit einem Kill-Switch im Code versehen, um die Verbreitung irgendwann stoppen zu können. Nur dem Zufallsfund eines Sicherheitsforschers ist es zu verdanken, dass die Ausbreitung dieser Version sehr frühzeitig gestoppt werden konnte. Trotzdem waren Hundertausende System befallen.
Bei Spiegel Online hatte ich einen vagen Hinweis auf eine neue Variante gelesen und hier im Blog ist ein entsprechender Kommentar. Aber Details lagen mir keine vor. Bei hackernews gibt es seit Samstag diesen Artikel, der sich auf mehrere Sicherheitsforscher bezieht, die Varianten des Erpressungstrojaners ohne Kill-Switch oder mit abweichenden Domainnamen gefunden haben wollen. In diesem Blog-Beitrag von heute gibt Matt Suiche Details an. Er beschreibt zwei neue Varianten des Trojaners.
- Eine Variante wurde Matt Suiche von einem Twitter-Nutzer Namens @benkow_ zugesandt. Die Analyse zeigte, dass diese Version eine geänderte Domain ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com benutzt. Suiche konnte die Domain aber ebenfalls registrieren und so die weitere Infektion unterbinden.
- Eine neue Variante ohne Kill-Switch wurde von Kaspersky heute (14.5.2017 in Russland) aufgespürt. Diese Variante konnte sich zwar verbreiten, aber keine Dateien auf dem Zielsystem verschlüsseln. Hintergrund: Die betreffende Archivdatei ist wohl beschädigt.
Allerdings gibt es von Costin Raiu (Kaspersky) diesen Tweet, in dem er angibt, dass alle von ihm analysierten Varianten einen Kill-Switch enthalten und er seine erste Aussage korrigiere.
Der Blog-Beitrag enthält weitere spannende Details zu den Interna. Auch bei HackerNews findet sich dieser (etwas vagere) Beitrag. Es ist davon auszugehen, dass wird noch einiges zum Thema hören werden.
Anzeige
Tool zum Blocken
Das spanische Computer Emergency Response Team, CCN-CERT, hat ein Tool bereitgestellt, welches die weitere Infektion von Maschinen im Netzwerk durch WannaCry verhindern soll. Leider ist ein Teil der Beschreibungen in den Readme nur in Spanisch – eine Batchdatei steht auch in Englisch zur Verfügung. Im Google Chrome erscheint aber eine Warnung beim Download, dass Dateien diesen Typs Schäden anrichten können. Zudem werden wohl auch .exe-Dateien angeboten.
Administratoren sollten auf ihren Maschinen SMBv1 deaktivieren, da der Trojaner dessen Sicherheitslücke ausnutzt. Wie das geht, hat Microsoft hier beschrieben.
Angriffs- und Verbreitungsweg erklärt
Mich haben Hinweise erreicht, dass man sich wundert, dass der Schädling sich verbreiten konnte. Hier ein Textausriss:
was mich wundert: Es muss doch Port 445 offen sein? Und das ist er default ja nicht, bei mir in W10 Enterprise (CBB) ist er wohl zu. Haben die Opfer dann die Freigabe offen gehabt? Bisher hört man ja auch meistens von Firmen die es traf und nicht Enduser (die da eher nicht dran was ändern).
Schade dass zu diesem Aspekt kaum was zu lesen war, das mit dem Port sah ich bei Malwarebytes.
Für mich ist eine wichtige Regel dass meine Rechner das Profil "öffentliches Netzwerk" bekommen, im Büro und zuhause, dann ist schonmal einiges zu. Daten sind immer auf der externen Platte und Backups laden auch auf solchen.
Ob die Rechner den Port 445 offen hatten, entzieht sich meiner Kenntnis. Aber es gibt mehrere Angriffswege – einen hat heise.de in einem Nebensatz erwähnt (die Deutsche Bahn hat wohl der Redaktion einen Phishing-Angriff bestätigt). Bei ivanti.com gibt es diesen interessanten Beitrag vom 13. Mai 2017, der noch ein wenig auf das Thema eingeht. Auch Microsoft hat diesen Technet-Blog-Beitrag online gestellt.
Weitere Informationen
Generell sollen wohl über 200.000 Systeme befallen worden sein. Im Tracker werden aber nur noch wenige Systeme aufgeführt (der Rest ist offline). Finanziell hat es sich für den Entwickler des Trojaners wohl (noch) nicht gelohnt. Aktuell habe ich eben die Zahl von ca. 30.000 Euro an Bitcoins gelesen, die geflossen sein sollen. Und ein Sicherheitsanalyst, der einen Honeypot aufgesetzt hatte, konnte 6 Infektionen binnen 1,5 Stunden feststellen.
Here is a video showing a machine on the left infected with MS17-010 worm, spreading WCry ransomware to machine on the right in real time. pic.twitter.com/cOIC06Wygf
— Hacker Fantastic (@hackerfantastic) 13. Mai 2017
In diesem Sinne: Allseits schönes Restwochenende.
Anzeige
Auch Linux mit Wine ist betroffen: https://vk.com/linuxpub?w=wall-33025660_235921
Wie kann man sich als Endnutzer denn schützen?
Wenn du die Updates von März eingespielt hast und eine aktuelle Windows-Version nutzt, solltest du auf der sicheren Seite sein.
"Solltest" … Schreib doch einfach 'dann_bist_Du auf der sicheren Seite', ansonsten ehrlicher Weise ich weiß es nicht (z. Zt. kann niemand einen womöglich modifizierten Verbreitungsmechanismus ausschließen, bzw. ob die Patches noch ausreichend sicher sind)
Ein Microsoft behauptet, der Defender erkennt WannaCry – und MalwareBytes behauptet das auch – stand hier in diversen Blog-Posts. Der Rest wurde hier von anderen Kommentatoren beantwortet. Ich denke, es wird kaum oder keine Privatanwender getroffen haben.
Bedeutet, wenn die updates standardmäßig eingespielt waren/sind bzw. ab windows7 ist eine Deaktivierung von 'SMBv1' via Cmdlet (was ist das genau, cmd als admin?) obsolet oder sollte man das trotzdem machen?!
danke.
"Man sollte" auf gar keinen Fall (und schon gar nicht aus ahnungslosem Trotz)
Zu Cmdlet habe ich im Blog-Beitrag nichts gefunden (hätte mich auch gewundet). Cmdlets sind Befehle der Powershell (siehe).
Administrative Eingabeaufforderung: siehe z.B. Windows 10: Eingabeaufforderung als Administrator öffnen
@Tobi: Windows 10 habe ich nicht. Ich nutze Windows 7 und Windows 8.1.
Passt auch, ich meinte mit "aktuellem" Windows alles neuer als Windows Vista.
Nach der Analyse von Malwarebytes verbreitet der sich im Netz indem er Ports abklopft:
https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/
Klar kann man sich auch per Mail etc., infizieren, aber das primäre wird via Wurmverbreitung über offene Ports sein.
Windows hat m.W. defaultmässig Filesharing zu, zumindest ab 7 aufwärts.
Da wäre es interessant wie der Schädling es schaffte soviele Rechner zu befallen.
Wie kann ich denn sehen, ob meine Server gepatcht sind? Es gibt zwar diese Liste https://technet.microsoft.com/de-de/library/security/ms17-010.aspx aber was bedeutet die Spalte "Updates Replaced" ganz rechts? Beispiel: "Windows Server 2008 R2 for x64-based Systems Service Pack 1 ", da gibt es die Einträge "(4012212) Security Only" und "(4012215) Monthly Rollup". Das steht wahrscheinlich für KB4012212 und KB4012215. Richtig? In besagter rechter Spalte steht auch noch "3212646". Ist damit KB3212646 gemeint? Wenn ja, bedeutet das, dass ich auch mit KB3212646 sicher bin? Oder müssen zwingend KB4012212 bzw. KB4012215 installiert sein? Oder KB4012212 bzw. KB4012215 UND KB3212646?
Verzeih mir und: ja, ich weiss, meine jetzige Aussage wird Unmut hervorrufen, aber: wenn Du nicht weisst, was die Angaben von MS bedeuten und wie Du herausfinden kannst, ob Deine Server auf einem aktuellen Stand sind, dann solltest Du wirklich keine Server betreiben. Erst recht nicht am öffentlichen Netz. Und um das auch gleich entsprechend zu beantworten, bevor gefragt wird: aus genau dem Grund betreibe ich keine Windows Server. Ich weiss einfach zu wenig, um sicherstellen zu können, dass ich mit einem Windows Server keine Gefahr für den Rest der Welt bin.
@Richard – Du musst mal alle Blogbeiträge hierzu lesen. Gehe mal dazu:
http://www.borncity.com/blog/2017/05/13/wannacrypt-updates-fr-windows-xp-server-2003-co/
Da habe ich in Ergänzung unten was eingestellt zu #KB4012212 und #KB4012215 und Diversen.
Keine Panik bitte entfalten.