{"id":224312,"date":"2019-10-27T13:36:57","date_gmt":"2019-10-27T12:36:57","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=224312"},"modified":"2022-08-09T10:39:38","modified_gmt":"2022-08-09T08:39:38","slug":"is-wannacry-back","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/10\/27\/is-wannacry-back\/","title":{"rendered":"Ist Wannacry zurück (Okt. 2019)?"},"content":{"rendered":"

Die Schadsoftware Wannacry<\/a> hat 2017 ja Tausende Computer befallen und unbrauchbar gemacht. In 2018 gab es vereinzelt WannaCry-Infektionen, aber keine gr\u00f6\u00dfere Welle. Aktuell gibt es aber Anzeichen, dass einige Leute unter WannaCry-Infektionen leiden k\u00f6nnten.<\/p>\n

<\/p>\n

Was war nochmal WannaCry?<\/h2>\n

\"\"Der Erpressungstrojaner WannaCry infizierte seit dem 12. Mai 2017 weltweit tausende Computer (siehe Ransomware WannaCry bef\u00e4llt tausende Computer weltweit<\/a>). Verteilt wurde WannaCry urspr\u00fcnglich wohl \u00fcber Phishing-Mails die den Trojaner in einer ZIP-Datei enthielten. Der Trojaner verschl\u00fcsselt die Dateien auf dem befallenen Windows-Rechner und fordert L\u00f6segeld.<\/p>\n

\"WannaCry-Meldung\"
\n(Quelle: MalwareBytes)<\/p>\n

Der Trojaner konnte sich rasend schnell in Netzwerken verbreiten und andere Rechner befallen, weil er eine bekannte Schwachstelle nutzt, um in Netzwerke einzudringen und sich lateral zu verbreiten. Die besagte Schwachstelle ist Teil eines geleakten NSA Hacking-Tools einer Gruppe namens \u201eThe Shadow Brokers\" (Codename \u201eETERNALBLUE\"). Das NSA-Tool verschafft den Angreifern \u00fcber einen Exploit der SMB & NBT-Protokolle des Windows-Betriebssystems Remote-Zugriff.<\/p>\n

WannaCry nutzt dabei konkret die durch Microsoft am 14. M\u00e4rz 2017 gepatchte Sicherheitsl\u00fccke MS17-010 Security Update for Microsoft Windows SMB Server (4013389)<\/a> zur Verbreitung innerhalb eines Netzwerks.\u00a0 Nur durch Zufall fand ein Sicherheitsforscher einen Killswitch, um die Verbreitung des Erpressungstrojaners per Internet zu stoppen. Ich hatte ich ja einige Artikel rund um WannaCry hier im Blog (siehe Linkliste).<\/p>\n

Microsoft hat im Nachgang Sicherheitsupdates f\u00fcr Windows XP bis Windows 10 f\u00fcr die betreffenden Schwachstellen im SMBv1-Protokoll ver\u00f6ffentlicht. Eigentlich dachte ich, dass sich das Thema WannaCry damit erledigt h\u00e4tte.<\/p>\n

Pl\u00f6tzliche Zunahme der erkannten Angriffsversuche?<\/h2>\n

Ich habe nicht allzu viele Details. Aber der Sicherheitsforscher @VessOnSecurity hat gerade den folgenden Tweet ver\u00f6ffentlicht.<\/p>\n

\n

Several people in various countries seem to have a bit of a WannaCry problem… pic.twitter.com\/osq29Bo2cY<\/a><\/p>\n

\u2014 Vess (@VessOnSecurity) October 27, 2019<\/a><\/p><\/blockquote>\n