Angefangen hat es am 12. Mai 2017 mit einer Meldung aus Großbritannien: Dort befiel der Krypto-Trojaner WannaCry Rechner in Krankenhäusern. Teilweise war nur noch analoges Arbeiten möglich. Es folgten Meldungen aus Spanien, Deutschland und weiteren Ländern.

Aus rund 150 Ländern wurden inzwischen Fälle von WannaCry-Befall gemeldet. Weit über 200.000 Rechner soll es erwischt haben. Befallen wurden Windows-Rechner mit veralteten Windows-Versionen oder bei denen die letzten Security-Patches nicht installiert wurden.

Im Folgenden tragen wir die wichtigsten Informationen zu WannaCry zusammen und geben ein paar Tipps, wie man sich vor solchen Attacken schützt und was man tun kann, wenn man von der WannaCry Ransomware betroffen ist.

Update: Es gibt mit WannaKiwi inzwischen ein Tool, das zumindest bei einem Teil der Betroffenen die verschlüsselten Dateien retten kann.

Was ist WannaCry?

WannaCry – auch bekannt unter den Namen Wcrypt, WCRY, WannaCrypt oder Wana Decrypt0r 2.0 – ist ein Krypto-Trojaner oder auch Ransomware.

Ransomware ist Schadsoftware, die sich automatisch von Rechner zu Rechner verbreitet und auf befallenen Rechnern die vorgefundenen Daten verschlüsselt. Der Nutzer erhält dann nur noch eine Meldung, dass die Daten auf seinem Rechner verschlüsselt seien und erst nach Zahlung eines Lösegelds wieder entschlüsselt würden. Es werden also praktisch die Daten auf dem Rechner als Geisel genommen, um vom Nutzer Geld zu erpressen. Ohne Frage handelt es sich hier also um eine spezialisierte Software von Kriminellen für kriminelle Zwecke.

Massenhafte Ransomware-Verbreitung mit Ansage

Wie funktioniert WannaCry?

WannaCry nutzt für die Verbreitung eine als EternalBlue bekannte Sicherheitslücke im SMB-Protokoll (NetBIOS) von Microsoft. Diese Lücke steckte in so ziemlich jeder Windows-Version, für die noch unterstützten Versionen von Windows (Vista, 7, 8.1, 10 und Server) stellte Microsoft am 14. März einen Patch bereit. Ältere Versionen des Betriebssystems blieben vorläufig verwundbar.

Hat WannaCry nun einen Rechner infiziert, dann widmet sich die Schadsoftware zwei Aufgaben: Einerseits versucht der Trojaner weitere Rechner zu infizieren und als zweite Aufgabe macht sich WannaCry an die Verschlüsselung der Dateien. Dabei kommen zwei Verschlüsselungsmodule zum Einsatz: Mit dem einen werden zehn zufällig ausgewählte Dateien verschlüsselt, die dann später für den User als „kostenfreie Demo“ auch wieder entschlüsselt werden, mit dem zweiten Modul der ganze Rest. Den Schlüssel für die Entschlüsselung der damit verschlüsselten Dateien versprechen die Kriminellen nach der Zahlung des Lösegelds in der Währung Bitcoin zu liefern.

Es gibt jedoch begründeten Anlass zur Vermutung, dass die Urheber gar nicht in der Lage sind, die Dateien wieder zu entschlüsseln oder dies zumindest nie vor hatten. Denn es gibt in der Software keine Möglichkeit, eine Zahlung des Lösegelds einem Rechner zuzuordnen. Das ergäbe nur in zwei Szenarien Sinn:

1. Es gibt nur einen Schlüssel, der immer und auf jedem Rechner verwendet wird. Dies widerspräche aber dem Zweck der Ransomware, möglichst viele Menschen dazu zu bringen, ein Lösegeld zu bezahlen – gäbe es nur einen einzigen Schlüssel, dann müsste den im Extremfall nur ein Nutzer kaufen und dann veröffentlichen.
2. Man hat gar nicht vor die Daten wieder freizugeben, man will nur kassieren.

Natürlich könnte es auch sein, dass die Entwickler der Software einfach nicht weit genug gedacht haben und das Fehlen einer solchen Zuordnung von Zahlung zu Rechner ein Fehler ist, der nicht beabsichtigt war. Möglich, aber Sinn ergibt dieses Szenario natürlich keinen.

Wie verbreitet sich WannaCry?

Betroffen sind nur ungepatchte Windows-Systeme. Hier gibt es eine EternalBlue getaufte Lücke im SMB-Protokoll (auch bekannt als NetBIOS).

Sind solche Systeme über das Netzwerk erreichbar, dann ist dies ein Einfallstor für WannaCry, wobei sich die Software aber darauf alleine nicht verlässt.

Auch per Mail verbreitet sich WannaCry weiter, gelangt auf diesem Weg auch in Netzwerke, die zumindest nicht direkt von außen erreichbar sind und verbreitet sich dann über die SMB-Lücke im internen Netz weiter.

Microsoft hat zwischenzeitlich sogar für eigentlich veraltete Systemversionen (Windows XP hallooo) einen Patch bereit gestellt.

Wie kann man sich vor WannaCry schützen?

Gegen WannaCry schützt man sich so, wie gegen jede andere Art von Schadsoftware:

• das System aktuell halten, gerade Security-Updates bringen die Softwarehersteller ja nicht, um euch die Uptime zu versauen
• keine Dienste laufen lassen, die nicht benötigt werden
• Vorsicht mit zugeschickten Links und Dateianhängen
• ob Antivirensoftware hilft oder nicht, darüber gibt es geteilte Meinungen, pauschal stimmt weder das eine noch das andere, aber zumindest ein regelmäßiger Check der Dateien im System kann nicht schaden

Vor den möglichen Folgen einer Infektion gibt es genau eine Maßnahme: Regelmäßige und korrekte Backups. Also auf Medien, die möglichst nur für die Zeit des Backups am Rechner hängen und im Idealfall an einem anderen Standort untergebracht sind.

Wenn man die Datenschutzproblematik mal außen vor lässt, dann ist zum Beispiel auch Dropbox ganz gut geeignet. Zwar werden die Daten ständig synchronisiert, aber auf den Servern von Dropbox werden für eine gewisse Zeit auch frühere Versionen von Dateien vorgehalten, so dass man zumindest zurück zum alten Stand vor einer Verschlüsselung gehen kann.

Backups machen, aber richtig:
Zeigt WannaCry und Adylkuzz den Stinkefinger: Die besten kostenlosen Backup-Programme

In Sachen Updates ungewöhnlich: Microsoft hat die von WannaCry genutzte Lücke per Patch auch für ältere und eigentlich nicht mehr unterstützte Windows-Versionen geschlossen.

Was soll ich tun, wenn ich mir WannaCry eingefangen habe?

Was man tun sollte

An erster Stelle steht natürlich den betroffenen Rechner offline zu nehmen und frisch installieren. Gibt es ein aktuelles Backup, dann ist das keine große Sache. Und in Zukunft die Hinweise beachten, wie man sich schützt. Wer möchte, der kann die verschlüsselten Dateien vorher noch archivieren, vielleicht lassen sie sich später wieder entschlüsseln.

Ohne aktuelles Backup kann man noch eine kleine Trauerfeier für die durch die Verschlüsselung verlorenen Daten abhalten – diese noch archivieren – und dann geht es ebenfalls an die Neuinstallation.

Falls der Rechner frisch infiziert ist und noch nicht neu gestartet wurde, kann möglicherweise WannaKiwi die Dateien noch retten.

Was man nicht tun sollte

Was man aber auf gar keinen Fall machen sollte: Das geforderte Lösegeld zahlen. Die Wahrscheinlichkeit, dass man einen Key erhält, mit dem sich die Dateien wiederherstellen lassen, liegt bei WannaCry sehr wahrscheinlich bei genau 0.

Selbst wenn die Urheber des Schädlings vorgehabt haben sollten, Keys heraus zu geben, haben sie ihre Software in der Richtung zumindest kräftig rumgestümpert und es sich so wohl unmöglich gemacht, dieses Vorhaben in die Tat umzusetzen.

Daher, egal was (vermeintliche) Sicherheitsexperten irgendwo erzählen: Zahlt auf keinen Fall das Lösegeld!

Gibt es keine Möglichkeit die Dateien wieder zu entschlüsseln?

Mit ein wenig Glück und wenn man den Rechner nach der Infektion nicht neu gestartet hat, kann das Tool WannaKiwi möglicherweise das zur Verschlüsselung verwendete Schlüsselpaar rekonstruieren. Das Tool basiert darauf, dass Windows bis zur Version 7 bei der Schlüsselerzeugung, die zugrunde liegenden Primzahlen nicht aus dem Speicher löscht, sie also dort verbleiben, bis ein anderer Prozess den Speicherbereich neu beschreibt oder der Rechner neu gestartet wird. Damit ist natürlich die Zahl derer, denen das Tool helfen kann, die Daten zu retten, relativ überschaubar, aber für diejenigen kann es sich hier um die Rettung handeln.

Wer steckt hinter WannaCry und hat man die Typen schon gefasst?

Man weiß bis jetzt nicht wirklich, wer hinter WannaCry steckt. Da in vielen betroffenen Ländern entsprechende Ermittlungen laufen und sich die WannaCry-Macher ganz nebenbei bei ihren kriminellen Kollegen mit einem anderen Trojaner sehr unbeliebt gemacht haben, dürfte es aber nur eine Frage der Zeit sein, bis die Täter identifiziert sind.

Warum wollen die das Lösegeld in Bitcoin?

Bitcoin ist eine Kryptowährung, gerne wird es auch als digitales Bargeld bezeichnet. Es ist aber im Gegensatz zu Bargeld bei Bitcoins durchaus nachverfolgbar, wohin Geld fließt.

Es ist nicht ganz so leicht und natürlich gibt es verschiedene Tricks, Geldflüsse auch hier zu verschleiern, mehrfach umzuleiten und aufzuteilen, eben genau das, was bei klassischer Geldwäsche auch passiert. Wie bei klassischer Geldwäsche, kostet das natürlich Geld und wenn in der Kette jemand Mist baut oder auspackt, dann besteht die Möglichkeit, trotz Verschleierung am Ende heraus zu bekommen, wer das Geld eingesteckt hat. Darauf hoffen die Strafverfolger, während sich die Kriminellen davor eher fürchten.

Vorteil von Bitcoin: Man kann beobachten ob und wie viel Lösegeld gezahlt wird. Dadurch wissen wir zum Beispiel, dass die Ausbeute im Vergleich zur recht weiten Verbreitung des Schädlings eher bescheiden zu nennen ist.

Was hat WannaCry mit Adylkuzz zu tun?

Gemeinsam ist beiden Tools, dass es sich um Trojaner handelt, die die Lücke EternalBlue ausnutzen. Das war es dann aber auch mit den Gemeinsamkeiten.

Denn während WannaCry genutzt wird, um den User zu erpressen und die Schadsoftware sich alleine schon zur Übermittlung der Lösegeldforderung dem Nutzer offenbaren muss, versucht Adylkuzz möglichst unauffällig zu bleiben und eine Entdeckung zu vermeiden.

Der Zweck von Adylkuzz ist ein anderer: Statt den User zu erpressen, bedient man sich an der Rechenzeit des infizierten Rechners, um damit Kryptogeld zu berechnen. Je länger Adylkuzz also unbemerkt auf einem System ist und arbeiten kann, desto lukrativer ist die Sache für die Verursacher.

Durch die Aufmerksamkeit, die WannaCry auf die Lücke gezogen hat, fiel mehr durch Zufall den Sicherheitsexperten auch Adylkuzz auf. Die Macher dieses Trojaners dürften also genau so schlecht auf die WannaCry-Verursacher zu sprechen sein, wie alle Betroffenen und die Strafverfolger.