{"id":190180,"date":"2017-05-13T03:12:00","date_gmt":"2017-05-13T01:12:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=190180"},"modified":"2023-04-29T10:40:39","modified_gmt":"2023-04-29T08:40:39","slug":"ransomware-wannacry-befllt-tausende-computer-weltweit","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/05\/13\/ransomware-wannacry-befllt-tausende-computer-weltweit\/","title":{"rendered":"Ransomware WannaCry bef&auml;llt tausende Computer weltweit"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"http:\/\/borncity.com\/win\/2017\/05\/13\/ransomware-wannacry-infected-worldwide-thousands-of-windows-systems\/\">English<\/a>]Seit dem 12. Mai l\u00e4uft eine massive Ransomware-Kampagne, der weltweit tausende Rechner dem Erpressungstrojaner WannaCry zum Opfer gefallen sind. Kliniken in England sind im Notbetrieb, Banken haben den Trojaner und auch Firmen und Beh\u00f6rden k\u00e4mpfen mit dem Befall. Hier einige Informationen, was bisher bekannt ist. <strong>Erg\u00e4nzung:<\/strong> Microsoft patcht Windows XP, Windows Server 2003, Windows 8 (<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/13\/wannacrypt-updates-fr-windows-xp-server-2003-co\/\">siehe<\/a>).<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/a3cc0d3d573d419a94e4ec3c96894500\" alt=\"\" width=\"1\" height=\"1\" \/>Vor einigen Tagen ist mir eine Mail mit einem ZIP-Anhang, der eine gescannte Rechnung enthalten sollte aufgefallen. Nur bekomme ich selten Rechnungen per E-Mail, aber der genannte Absender sagte mir schon etwas. Habe die Mail sofort gel\u00f6scht, da deren Quellcode diese als Phishing-Versuch erkennen lie\u00df. Ob es was mit dem aktuellen Angriff zu tun hat? Ich wei\u00df es nicht. Aktuell k\u00e4mpfe ich hier eher mit Schnupfenviren und habe Freitag flach gelegen. Aber hier eine \u00dcbersicht, was Sache ist.<\/p>\n<h3>WannaCry, WanaCrypt0r, WannaCrypt, Wanna Cryptor \u2026.<\/h3>\n<p>\u00dcber die Benennung ist man sich wohl noch nicht einig, die in der \u00dcberschrift genannten Namen tauchen wohl in der Berichterstattung auf. Von Malwarebytes habe ich erste Informationen zu dieser Ransomware-Kampagne erhalten.<\/p>\n<h3>Zwei Kampagnen<\/h3>\n<p>Es handelt sich hierbei um einen sich schnell verbreitenden Ransomware-Typ, der kritische Infrastrukturen lahmlegt. Die Malware ist wohl in zwei Versionen aufgetaucht, wie man bei Bleeping Computer <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/telefonica-tells-employees-to-shut-down-computers-amid-massive-ransomware-outbreak\/\" target=\"_blank\" rel=\"noopener noreferrer\">nachlesen kann<\/a>.<\/p>\n<ul>\n<li><strong>Version 1.0:<\/strong> Diese Variante der Ransomware wurde von Malwarebytes bereits am 10 Februar 2017 <a href=\"https:\/\/twitter.com\/siri_urz\/status\/830008052954890242\/photo\/1\" target=\"_blank\" rel=\"noopener noreferrer\">entdeckt<\/a> und in einer kurzen Kampagne am 25. M\u00e4rz 2017 von Karsten Hahn, GData, <a href=\"https:\/\/twitter.com\/struppigel\/status\/846241982347427840\" target=\"_blank\" rel=\"noopener noreferrer\">beobachtet<\/a>.<\/li>\n<li><strong>Version 2.0: <\/strong>Diese Version wurde erst am 12. Mai 2017 durch Sicherheitsanalysten von <a href=\"https:\/\/twitter.com\/malwrhunterteam\/\">MalwareHunter<\/a> entdeckt.<\/li>\n<\/ul>\n<p>Genau diese Version 2.0 ist jetzt weltweit f\u00fcr die Infektion der Computernetzwerke verantwortlich. Warum die Ransomware sich wie ein Feuer verbreitet, wird inzwischen auch klar. Die Analysten von Malwarebytes schreiben:<\/p>\n<blockquote><p>Es existieren starke Indizien daf\u00fcr, dass er eine bekannte Schwachstelle nutzt, um in Netzwerke einzudringen und sich lateral zu verbreiten. Die besagte Schwachstelle ist Teil eines geleakten NSA Hacking-Tools einer Gruppe namens \u201eThe Shadow Brokers\" (Codename \u201eETERNALBLUE\"). Das NSA-Tool verschafft den Angreifern \u00fcber einen Exploit der SMB &amp; NBT-Protokolle des Windows-Betriebssystems Remote-Zugriff. Malwarebytes-Nutzer sind dank der verhaltensbasierten Ransomware-Erkennungs-Software von Malwarebytes davor gesch\u00fctzt.<\/p><\/blockquote>\n<p>In <a href=\"https:\/\/blog.malwarebytes.com\/threat-analysis\/2017\/05\/the-worm-that-spreads-wanacrypt0r\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> gehen die Analysten von MalwareBytes auf den Wurm ein, der f\u00fcr die Verbreitung sorgt. Eine eigentlich durch Microsoft am 14. M\u00e4rz 2017 gepatchte Sicherheitsl\u00fccke <a href=\"https:\/\/technet.microsoft.com\/en-us\/library\/security\/ms17-010.aspx\" target=\"_blank\" rel=\"noopener noreferrer\">MS17-010 Security Update for Microsoft Windows SMB Server (4013389)<\/a> wird durch den Wurm ausgenutzt.<\/p>\n<p>Dies l\u00e4sst den Schluss zu, dass da eine Menge ungepatchter Systeme betrieben werden. MalwareBytes versucht gerade den urspr\u00fcnglichen Infektions\u00fcbertr\u00e4ger zu identifizieren. Der Angriff scheint, laut deren Sicherheitsforschern, gezielt von statten zu gehen, daher kann es eine Schwachstelle im Netzwerkschutz oder eine sehr effiziente Spear-Phishing-Attacke gewesen sein, die zum Einschleusen verwendet wurde.<\/p>\n<p>Aktuell verbreitet sich die Malware durch infizierte Netzwerke \u00fcber die EternalBlue-Schwachstelle und infiziert weitere ungepatchte Systeme. MalwareBytes <a href=\"https:\/\/blog.malwarebytes.com\/cybercrime\/2017\/05\/wanacrypt0r-ransomware-hits-it-big-just-before-the-weekend\/\" target=\"_blank\" rel=\"noopener noreferrer\">schreibt<\/a>, dass man die Systeme voll patchen soll und gibt an, dass Konsumerprodukte wie <a href=\"http:\/\/www.malwarebytes.com\/premium\" target=\"_blank\" rel=\"noopener noreferrer\">Malwarebytes<\/a> und Business-Produkte wie <a href=\"https:\/\/www.malwarebytes.com\/business\/endpointsecurity\/\" target=\"_blank\" rel=\"noopener noreferrer\">Malwarebytes Endpoint Security<\/a> Schutz bieten. Ach ja, es gibt auch noch die Empfehlung, alte Systeme mit Windows XP einfach auszuschalten. Technische Details k\u00f6nnt ihr bei MalwareBytes <a href=\"https:\/\/blog.malwarebytes.com\/threat-analysis\/2017\/05\/the-worm-that-spreads-wanacrypt0r\/\" target=\"_blank\" rel=\"noopener noreferrer\">nachlesen<\/a>. Eine ganz gute Dokumentation findet sich bei <a title=\"talosintelligence.com\" href=\"http:\/\/blog.talosintelligence.com\/2017\/05\/wannacry.html\" target=\"_blank\" rel=\"noopener noreferrer\">talosintelligence.com<\/a>.<\/p>\n<h3>Weltweit tausende Systeme betroffen<\/h3>\n<p>Zwischenzeitlich sind es tausende Systeme, die weltweit durch die Ransomware befallen sind \u2013 und das vor dem Wochenende. Die Dateien der befallenen Computer werden verschl\u00fcsselt und es wird folgende Meldung angezeigt.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/web.archive.org\/web\/20220130150333\/https:\/\/blog.malwarebytes.com\/wp-content\/uploads\/2017\/05\/Ransom.WannaCrypt2.1.png\" width=\"661\" height=\"497\" \/><br \/>\n(Quelle: MalwareBytes)<\/p>\n<p>Bisher sind vor allem Krankenh\u00e4user, die NHS in Gro\u00dfbritannien und Telefonica in Spanien betroffen. Bei heise.de lassen sich einige Details <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/WannaCry-Angriff-mit-Ransomware-legt-weltweit-Zehntausende-Rechner-lahm-3713235.html\" target=\"_blank\" rel=\"noopener noreferrer\">nachlesen<\/a>. Bisher wei\u00df man aus der Presse, dass Spanien, neben der Telefonica, recht heftig getroffen wurde: KPMG, BBVA und Santander, der Elektrizit\u00e4tsversorger Iberdrola und der Telekommunikationsgro\u00dfkonzern Vodafone. In Deutschland ist auch die Bundesbahn betroffen \u2013 da fallen Anzeigetafeln aus (siehe z.B. folgender <a href=\"https:\/\/twitter.com\/Avas_Marco\/status\/863107445559889921\" target=\"_blank\" rel=\"noopener noreferrer\">Tweet<\/a>).<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Just got to Frankfurt and took a picture of this&#8230; <a href=\"https:\/\/twitter.com\/hashtag\/Sbahn?src=hash\">#Sbahn<\/a>, you got a <a href=\"https:\/\/twitter.com\/hashtag\/Ransomware?src=hash\">#Ransomware<\/a>! <a href=\"https:\/\/t.co\/w0DODySL0p\">pic.twitter.com\/w0DODySL0p<\/a><\/p>\n<p>\u2014 Marco Aguilar (@Avas_Marco) <a href=\"https:\/\/twitter.com\/Avas_Marco\/status\/863107445559889921\">12. Mai 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>In obigem Foto ist \u00fcbrigens Windows 7 zu sehen \u2013 also ungepatcht. Bei Malwarebytes vermutet man, dass auch Russland, Ukraine und Taiwan mit dieser Ransomware infiziert sind, wie <a href=\"https:\/\/twitter.com\/JakubKroustek\/status\/863045197663490053\" target=\"_blank\" rel=\"noopener noreferrer\">dieser Tweet<\/a> nahelegt.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">36,000 detections of <a href=\"https:\/\/twitter.com\/hashtag\/WannaCry?src=hash\">#WannaCry<\/a> (aka <a href=\"https:\/\/twitter.com\/hashtag\/WanaCypt0r?src=hash\">#WanaCypt0r<\/a> aka <a href=\"https:\/\/twitter.com\/hashtag\/WCry?src=hash\">#WCry<\/a>) <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash\">#ransomware<\/a> so far. Russia, Ukraine, and Taiwan leading. This is huge. <a href=\"https:\/\/t.co\/EaZcaxPta4\">pic.twitter.com\/EaZcaxPta4<\/a><\/p>\n<p>\u2014 Jakub Kroustek (@JakubKroustek) <a href=\"https:\/\/twitter.com\/JakubKroustek\/status\/863045197663490053\">12. Mai 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Bei Spiegel Online<a href=\"http:\/\/www.spiegel.de\/netzwelt\/web\/grossbritannien-cyber-attacke-auf-krankenhaeuser-sorgt-fuer-aufregung-a-1147453.html\" target=\"_blank\" rel=\"noopener noreferrer\"> gibt es<\/a> eine unvollst\u00e4ndig Liste betroffener Unternehmen und L\u00e4nder. Zwischenzeitlich gibt es diese Karte der New York Times, die die Infektionen weltweit anzeigt.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Check out this NYT post, they made a really cool time based map with my data <a href=\"https:\/\/t.co\/K7lVjagq29\">https:\/\/t.co\/K7lVjagq29<\/a><\/p>\n<p>\u2014 MalwareTech (@MalwareTechBlog) 13. Mai 2017<\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<h3>Angriff gestoppt?<\/h3>\n<p>Tagesschau.de <a href=\"https:\/\/web.archive.org\/web\/20171201165240\/http:\/\/www.tagesschau.de:80\/ausland\/cyberangriff-107.html\" target=\"_blank\" rel=\"noopener noreferrer\">schreibt hier<\/a>, dass die Verbreitung der Ransomware (die schreiben von einem Virus) wohl gestoppt sei. Der Betreiber des \"@MalwareTechBlogs\" fand nach eigenen Angaben einen Web-Domainnamen im Computercode der Schadsoftware und registrierte ihn f\u00fcr wenige Dollar.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Some analysts are suggesting by sinkholing the domain we stopped the infection? Can anyone confirm?<\/p>\n<p>\u2014 MalwareTech (@MalwareTechBlog) 12. Mai 2017<\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.<\/p>\n<p>\u2014 MalwareTech (@MalwareTechBlog) 13. Mai 2017<\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Der britische The Guadian hat <a href=\"https:\/\/www.theguardian.com\/technology\/2017\/may\/13\/accidental-hero-finds-kill-switch-to-stop-spread-of-ransomware-cyber-attack?CMP=share_btn_tw\" target=\"_blank\" rel=\"noopener noreferrer\">hier einen Bericht<\/a> zu diesem Thema ver\u00f6ffentlicht. Sobald eine bestimmte Domain (die hardcodiert ist), aktiv ist, stoppt die Verbreitung der Ransomware. Durch die Registrierung der Domain konnte die Verbreitung also gestoppt werden \u2013 bis eine neue Variante herauskommt.<\/p>\n<h3>Erg\u00e4nzung: Microsoft patcht Windows XP, Windows Server 2003, Windows 8<\/h3>\n<p>Microsoft hat auf die massive Verbreitung von WannaCrypt reagiert und Sicherheits-Updates f\u00fcr Windows XP, Windows Server 2003 und Windows 8 herausgebracht. Die Information findet <a href=\"https:\/\/web.archive.org\/web\/20190624142039\/https:\/\/blogs.technet.microsoft.com\/msrc\/2017\/05\/12\/customer-guidance-for-wannacrypt-attacks\/\" target=\"_blank\" rel=\"noopener noreferrer\">sich im MSRC-Blog<\/a>. (via) Ich habe die Details im Blog-Beitrag\u00a0<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/13\/wannacrypt-updates-fr-windows-xp-server-2003-co\/\" rel=\"bookmark\">WannaCrypt: Updates f\u00fcr Windows XP, Server 2003 &amp; Co.<\/a>\u00a0behandelt.<\/p>\n<h3>Finale Gedanken<\/h3>\n<p>Die Ransomware-Kampagne ist wohl unverhofft erfolgreich und zeigt mir, auf welch wackeliger Infrastruktur die aktuelle IT in den Firmen unterwegs ist. Da fallen mir nur noch der Artikel von heute Nacht <a href=\"https:\/\/borncity.com\/blog\/2017\/05\/13\/microsoft-volldampf-in-richtung-big-brother\/\">Microsoft: Volldampf in Richtung Big Brother?<\/a> und die Sirenenkl\u00e4nge in Richtung totaler Vernetzung f\u00fcr Industrie 4.0 ein, wo ein immer schneller, immer gr\u00f6\u00dfer, immer umfassender Ansatz propagiert wird. Wer da nicht mitmacht, ist outdated. Ob ein weiter so da funktioniert? Ich habe meine Zweifel.<\/p>\n<p>Und noch ein Gedanke: Es w\u00e4re so langsam an der Zeit, die Verantwortlichen zur Rechenschaft zu ziehen. Wer Anzeigetafeln bei der Bahn oder die kritische IT in Kliniken mit Windows betreibt handelt grob fahrl\u00e4ssig \u2013 und das gilt erst Recht f\u00fcr das kommende Windows 10. Wird noch spannend, wenn die ersten IT-Entscheider diesbez\u00fcglich an den Hammelbeinen gegriffen werden.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/13\/wannacrypt-updates-fr-windows-xp-server-2003-co\/\">WannaCrypt: Updates f\u00fcr Windows XP, Server 2003 &amp; Co.<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Seit dem 12. Mai l\u00e4uft eine massive Ransomware-Kampagne, der weltweit tausende Rechner dem Erpressungstrojaner WannaCry zum Opfer gefallen sind. Kliniken in England sind im Notbetrieb, Banken haben den Trojaner und auch Firmen und Beh\u00f6rden k\u00e4mpfen mit dem Befall. Hier einige &hellip; <a href=\"https:\/\/borncity.com\/blog\/2017\/05\/13\/ransomware-wannacry-befllt-tausende-computer-weltweit\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[5139,4715,4328,1107,4325],"class_list":["post-190180","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-erpressung","tag-ransomware","tag-sicherheit","tag-trojaner","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190180","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=190180"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190180\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=190180"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=190180"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=190180"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}