Der Krypto-Trojaner WannaCry ist in aller Munde: seit dem 12.05.2017 vergeht kaum ein Tag ohne Meldung. Angefangen hatte es mit einer Meldung aus Gro\u00dfbritannien: WannaCry legte Rechner in Krankenh\u00e4usern lahm. Zum Teil mussten die Krankenh\u00e4user auf analoges Arbeiten umstellen. Weitere Meldungen folgten aus Spanien, Deutschland und weiteren Teilen der Welt.<\/p>\n
In dieser kurzen Zeit wurden aus rund 150 L\u00e4ndern WannaCry-Befall gemeldet; mehr als 200.000 Computer soll es bereits erwischt haben. Ziel des Angriffs sind Windows-Rechner mit alten Versionen sowie Windows-Rechner, bei denen die letzten Sicherheits-Patches nicht eingespielt wurden.<\/p>\n
Bei WannaCry handelt es sich um einen Krypto-Trojaner, auch Ransomware genannt. WannaCry ist auch unter den Namen WCRY, Wcrypt, Wana Decrypt0r oder WannaCrypt bekannt. Als Schadsoftware verbreitet sich Ransomware automatisch von Rechner zu Rechner. Auf befallenen Rechnern werden die Daten verschl\u00fcsselt. Der User erh\u00e4lt dann eine Meldung, dass die Daten verschl\u00fcsselt sind und diese nach Zahlung eines L\u00f6segelds wieder entschl\u00fcsselt werden.<\/p>\n
WannaCry arbeitet besonders perfide: Die Erpressungssoftware nutzt eine Sicherheitsl\u00fccke im Windows-Betriebssystem aus. Die NSA nutzte eben diese L\u00fccke f\u00fcr eigene Sp\u00e4hangriffe und meldete sie deshalb nicht an Microsoft. Die Sicherheitsl\u00fccke existiert also bereits ziemlich lange und nun wurde sie von Hackern genutzt.<\/p>\n
Konkret wurden erfolgreiche Angriffe gegen kritische Infrastrukturen gefahren; darunter beispielsweise gegen die der Deutschen Bahn, in Gro\u00dfbritannien traf es Krankenh\u00e4user. Zwar stellte Microsoft z\u00fcgig einen Notfall-Patch zum Schlie\u00dfen der L\u00fccke bereit, jedoch wurde auf vielen Rechnern die Schwachstelle nicht rechtzeitig bereinigt. Das regul\u00e4re Patch geht ausschlie\u00dflich an noch unterst\u00fctzte Systeme (Windows 7 oder h\u00f6her) raus. F\u00fcr veraltete Systeme hat Microsoft in der Zwischenzeit ebenfalls einen Patch<\/a> bereitgestellt.<\/p>\n Zwei Aufgaben verfolgt WannaCry nach der Infektion des Rechners: zum einen versucht die Ransomware, weitere Rechner zu infizieren, und zum anderen verschl\u00fcsselt WannaCry die Dateien. Hierbei arbeiten zwei Verschl\u00fcsselungsmodule: Das eine verschl\u00fcsselt zehn rein zuf\u00e4llig ausgew\u00e4hlte Daten. Diese werden sp\u00e4ter als „kostenfreie Demo“ wieder entschl\u00fcsselt. Das zweite Modul verschl\u00fcsselt den kompletten Rest.<\/p>\n Die Kriminellen versprechen, diesen Rest nach Zahlung eines L\u00f6segelds in Bitcoins wieder zu entschl\u00fcsseln. Auf dieses Versprechen sollten Sie jedoch nicht setzen. In aller Regel sind die Kriminellen weder willens noch in der Lage, Ihre Dateien wieder zu entschl\u00fcsseln. Das liegt unter anderem daran, dass die L\u00f6segeldzahlung keinem Rechner zuzuordnen w\u00e4re.<\/p>\n Dass der Zahlung des L\u00f6segelds eine Entschl\u00fcsselung folgt, ist also mehr als unwahrscheinlich. Deshalb: Zahlen Sie nie auch nur einen Cent, wenn Sie Opfer von Ransomware im Allgemeinen oder von WannaCry im Besonderen geworden sind!<\/p>\n Im Gro\u00dfen und Ganzen sind Sie dann vor WannaCry gesch\u00fctzt, wenn Sie die Regeln einhalten, die auch f\u00fcr jede andere Schadsoftware gilt:<\/p>\n Sind Ihre Dateien bereits verschl\u00fcsselt, hilft nur noch eines: stecken Sie erst den Rechner aus, nehmen Sie ihn offline und formatieren Sie Ihre Festplatte, um Ihren Rechner anschlie\u00dfend frisch zu installieren. Mit einem aktuellen Backup haben Sie leichtes Spiel \u2013 ohne Backup sind Ihre Daten dahin. Ein Hoffnungsschimmer k\u00f6nnte sein, dass sich die verschl\u00fcsselten Daten beizeiten wieder entschl\u00fcsseln lassen. Haben Sie diese Hoffnung, k\u00f6nnen Sie die verschl\u00fcsselten Dateien vorher noch archivieren.<\/p>\n Ist Ihr Rechner frisch infiziert und haben Sie ihn noch nicht neu gestartet, kann Ihnen ein Tool namens WannaKiwi vielleicht noch helfen: Eventuell k\u00f6nnen einige Dateien gerettet werden. Downloaden k\u00f6nnen Sie das Helferlein Wanakiwi<\/a> bei GitHub. Wichtig dabei ist, sehr z\u00fcgig zu handeln und den betreffenden Rechner keinesfalls neu zu starten! Nachdem Sie das Tool nach dem Download starten, hei\u00dft es: Daumen dr\u00fccken \u2013 eventuell bekommen Sie einige Dateien zur\u00fcck. Ab Windows XP k\u00f6nnen Sie WannaKiwi nutzen.<\/p>\n Was Sie in gar keinem Fall tun sollten, ist, das L\u00f6segeld zu zahlen. Die Chancen, Ihre Dateien entschl\u00fcsselt zur\u00fcckzuerhalten \u2013 oder auch nur einen kleinen Teil Ihrer Dateien \u2013 liegen bei null. Gehen Sie keinesfalls auf die L\u00f6segeldforderungen ein; sie sind nur teuer und bringen gar nichts.<\/p>\n <\/p>\nErpressung: Kommen Sie wieder an Ihre Daten?<\/h3>\n
Wie k\u00f6nnen Sie sich vor WannaCry sch\u00fctzen?<\/h2>\n
\n
Was tun, wenn WannaCry bereits aktiv ist?<\/h3>\n
Was Sie bei einer Infektion keinesfalls tun sollten<\/h3>\n
WannaCry als Weckruf verstehen<\/h2>\n