Die Geschichte des WannaCry-Kill-Switches

Spannende Geschichte rund die Erpressungssoftware WannaCry, die im Mai 2017 weltweit tausende Computer infizierte. Zwei Sicherheitforscher fanden einen 'Kill Switch', der die Infektionen bremste. Dieser Kill-Switch ist immer noch aktiv und verhindert weitgehend neue WannaCry-Ausbrüche.


Anzeige

Ab dem 12. Mai 2017 begann eine massive Ransomware-Kampagne, der weltweit hunderttausende Rechner dem Erpressungstrojaner WannaCry zum Opfer gefallen sind. Kliniken in England waren im Notbetrieb, Banken kämpften mit dem Trojaner und auch Firmen und Behörden litten unter dem Befall. Ich hatte ich ja einige Artikel rund um WannaCry hier im Blog. Die Dateien der befallenen Computer werden verschlüsselt und es wird folgende Meldung angezeigt.


(Quelle: MalwareBytes)

Microsoft hatte zwar längst einen Patch für die von WannaCry ausgenutzte Sicherheitslücke veröffentlicht. Aber offenbar gab es immer noch ungepatchte Systeme, die dann befallen wurden. Nur durch Zufall fanden zwei Sicherheitsforscher einen Kill-Switch, um die Verbreitung des Erpressungstrojaners zu stoppen. Würde der Kill-Switch abgeschaltet, könnte es zu neuen WannaCry-Infektionswellen kommen. Und in der Tat kam es in späteren Monaten immer wieder zu lokal begrenzten Ausbrüchen. Zack Bowden hat die beiden Sicherheitsforscher, die den Kill-Switch entdeckten, interviewt.


Anzeige

Die spannende Geschichte rund um die WannaCry-Abwehr ist bei Techchrunc im Artikel The sinkhole that saved the internet nachzulesen.

Ähnliche Artikel:
Ransomware WannaCry befällt tausende Computer weltweit
Malwarebytes-Analyse: Wie sich WannaCry verbreitete
WannaCrypt: Updates für Windows XP, Server 2003 & Co.
WannaCry: Neue Versionen und mehr Neuigkeiten
WannaCry: Die Lage am Montag
WannaCry: Meist ungepatchte Windows 7 Systeme befallen
Malwarebytes-Analyse: Wie sich WannaCry verbreitete
WannaCry: Hinweise auf Lazarus-Gruppe
WannaCry: Verschlüsselte Daten per Recovery retten?
WannaCry & Co.: EternalBlue Vulnerability Checker und Crysis Ransomware Decryptor
WannaCry: Analysen, Windows 10-Port, Daten-Recovery …
Sicherheitsinfos: WannaCry, Locky, Hacks und mehr
Wannycry: WCry-Decryptor für Windows XP
WannaCry Clone Ransomware befällt Systeme in der Ukraine


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Die Geschichte des WannaCry-Kill-Switches

  1. theo sagt:

    Wer die 2-3 Absätze hier im Beitrag von Günni gelesen hat, ist voll informiert und kann sich die verlinkte Geschichte (The Sinkhole Story that went on my nerves, oder so ähnlich) sparen. Ich habe mich da mal durchgequält, der zusätzliche Infogewinn <= 0.

    • Günter Born sagt:

      Zum Infogewinn <= 0 - sollte jeder selbst entscheiden, ob ein Infogewinn vorhanden ist oder nicht. Ich habe den Beitrag quer gelesen und fand es spannend, zu erfahren, wie die zwei Sicherheitsforscher im Hintergrund agierten, um den Kill-Switch am Leben zu erhalten - speziell, wenn man weiß, dass deren Domain per Mirai-Botnet per DDoS-Angriff in die Knie gezwungen werden sollte. Was für mich noch offen ist: Wie es trotz Kill-Switch immer mal wieder zu WannaCry-Infektionen bei Daimler & Co. kommen konnte.

      • theo sagt:

        Ich schrieb ja auch der "zusätzliche" Infogewinn tendiert gegen Null, natürlich aus meiner Sicht, ist ja eigentlich klar.

        Es gibt einfach zu viel Fülltext und zu wenige Infos im Artikel.
        Die sinnfreie Erwähnung von Fitbit und Co. grenzt an Werbung, fehlt nur noch die Info, welche Laptops (Dell oder HP) eingesetzt wurden…

        In diesem Artikel (PDF) wird auf einer knappen Seite schön zusammengefasst wie WannaCry über TCP 445 eindringt, welche neuen Versionen es gibt (mit welchem Sinkhole Server) usw.

        Ich mag es lieber kompakt und nüchtern. Der obige Artikel ist eher was für Hollywood (Lets go to DEFCON 2!) ;-)

        Noch ausführlicher: PDF-Dokument

  2. Dekre sagt:

    Ich habe es jetzt mal etwas ausführlicher gelesen und auch die früheren Blogeinträge von Günter und von Malwarebytes.

    Die Angriffe auf PCs erfolgen durch eine für die NSA von MS "freigehaltene" Sicherheitslücke. Das ist schon witzig dafür nun Nordkorea verantwortlich zu machen.
    Dann hat MS die Lücke durch Patches im Mai 2017 geschlossen. hier mal ein Artikel von Malwarebytes vom Mai 2017:
    https://blog.malwarebytes.com/cybercrime/2017/05/wannadecrypt-your-files/

    So richtig geschlossen war es dann wohl immer noch nicht und genau 2 Jahre später mit Patch vom Mai 2019 hat dann MS an dem schließen der Sicherheitslücke weiter gearbeitet, siehe hier ein Artikel von Malwarebytes vom Mai 2019:
    https://blog.malwarebytes.com/cybercrime/2019/05/microsoft-pushes-patch-to-prevent-wannacry-level-vulnerability/

    Malwarebytes beendet diesen Artikel vom Mai 2019 mit der prophetischen Aussage:
    "Es ist nicht ausgeschlossen, dass diese Sicherheitsanfälligkeit in den nächsten Wochen als Waffe gegen Verbraucher und Unternehmen eingesetzt wird, die ihre Netzwerke nicht patchen und schützen können. Sei es keine Statistik. Schützen Sie jetzt Ihre Maschinen, Daten, Netzwerke und Benutzer.", übersetzt mit Hilfe von ImTranslator und DeepL.

    Für die NSA ist bestimmt noch ein Türchen offen.

    • RUTZ-AhA sagt:

      "Für die NSA ist bestimmt noch ein Türchen offen."

      Da MS nach US Gesetz gezwungen ist, den Anforderungen für jeglichen gewünschten Zugriff zu ermöglichen, kann davon ausgegangen werden, dass der NSA unzählige Türchen offen stehen.
      Die vielen OS Versionen, Programme, Anwendungen, Apps, Cloud usw. und mit Allem und Jedem kompatibel bedeutet Schlaraffia in dieser Hinsicht.
      Und es kommt immer Neues hinzu.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.