Die Schadsoftware Wannacry hat 2017 ja Tausende Computer befallen und unbrauchbar gemacht. In 2018 gab es vereinzelt WannaCry-Infektionen, aber keine größere Welle. Aktuell gibt es aber Anzeichen, dass einige Leute unter WannaCry-Infektionen leiden könnten.
Anzeige
Was war nochmal WannaCry?
Der Erpressungstrojaner WannaCry infizierte seit dem 12. Mai 2017 weltweit tausende Computer (siehe Ransomware WannaCry befällt tausende Computer weltweit). Verteilt wurde WannaCry ursprünglich wohl über Phishing-Mails die den Trojaner in einer ZIP-Datei enthielten. Der Trojaner verschlüsselt die Dateien auf dem befallenen Windows-Rechner und fordert Lösegeld.
(Quelle: MalwareBytes)
Der Trojaner konnte sich rasend schnell in Netzwerken verbreiten und andere Rechner befallen, weil er eine bekannte Schwachstelle nutzt, um in Netzwerke einzudringen und sich lateral zu verbreiten. Die besagte Schwachstelle ist Teil eines geleakten NSA Hacking-Tools einer Gruppe namens „The Shadow Brokers" (Codename „ETERNALBLUE"). Das NSA-Tool verschafft den Angreifern über einen Exploit der SMB & NBT-Protokolle des Windows-Betriebssystems Remote-Zugriff.
WannaCry nutzt dabei konkret die durch Microsoft am 14. März 2017 gepatchte Sicherheitslücke MS17-010 Security Update for Microsoft Windows SMB Server (4013389) zur Verbreitung innerhalb eines Netzwerks. Nur durch Zufall fand ein Sicherheitsforscher einen Killswitch, um die Verbreitung des Erpressungstrojaners per Internet zu stoppen. Ich hatte ich ja einige Artikel rund um WannaCry hier im Blog (siehe Linkliste).
Anzeige
Microsoft hat im Nachgang Sicherheitsupdates für Windows XP bis Windows 10 für die betreffenden Schwachstellen im SMBv1-Protokoll veröffentlicht. Eigentlich dachte ich, dass sich das Thema WannaCry damit erledigt hätte.
Plötzliche Zunahme der erkannten Angriffsversuche?
Ich habe nicht allzu viele Details. Aber der Sicherheitsforscher @VessOnSecurity hat gerade den folgenden Tweet veröffentlicht.
Several people in various countries seem to have a bit of a WannaCry problem… pic.twitter.com/osq29Bo2cY
— Vess (@VessOnSecurity) October 27, 2019
Die eingebettete Grafik zeigt die von Symantec erkannten 'Hochgeladenen Ransom.Wannacry Malware-Beispiele. Sprich: Wenn Symantec Sicherheitssoftware die Malware erkennen, wird diese in Quarantäne gestellt und wohl an Symantec gemeldet. Irgend etwas ist da wohl im Busch – obwohl dort keine deutschsprachigen europäischen Länder betroffen zu sein scheinen.
Ähnliche Artikel:
Ransomware WannaCry befällt tausende Computer weltweit
Malwarebytes-Analyse: Wie sich WannaCry verbreitete
WannaCrypt: Updates für Windows XP, Server 2003 & Co.
WannaCry: Neue Versionen und mehr Neuigkeiten
WannaCry: Die Lage am Montag
WannaCry: Meist ungepatchte Windows 7 Systeme befallen
Malwarebytes-Analyse: Wie sich WannaCry verbreitete
WannaCry: Hinweise auf Lazarus-Gruppe
WannaCry: Verschlüsselte Daten per Recovery retten?
WannaCry & Co.: EternalBlue Vulnerability Checker und Crysis Ransomware Decryptor
WannaCry: Analysen, Windows 10-Port, Daten-Recovery …
Sicherheitsinfos: WannaCry, Locky, Hacks und mehr
Wannycry: WCry-Decryptor für Windows XP
WannaCry Clone Ransomware befällt Systeme in der Ukraine
WannaCry-Infektionen bei Daimler?
WannaCry: Microsoft beschuldigt Nordkorea
Vermutlich WannaCry Ransomeware-Ausbruch bei Boeing
WannaCry: Die Gefahr ist noch nicht gebannt
WannaCry Wiederkehr? Von wegen, Betrugs-Mail
WannaCry hat bei Chiphersteller TSMC zugeschlagen …
Anzeige
Zitat: Irgend etwas ist da wohl im Busch – wohl dort keine europäischen Länder betroffen zu sein scheinen
Aktuell Frankreich mit >6000 Attacken auf 2.Stelle gefolgt von Tschechien mit >2000 Attacken
mein Fehler, hatte deutschsprachige Länder im Kopf, ist ergänzt
In Firmenumgeben mit Netzwerkdruckers ist SMBv1 leider immer noch in Benutzung.
Man kann es bei den älteren Druckern (die noch gut funktionieren) nicht abschalten. So hat es mir ein Wartungstechniker eines sehr grossen Anbieters mitgeteilt.
:-(