Das Internet der Tränen oder “WannaCry”

Der Mai 2017 ist aus Sicht der IT-Sicherheit ein höchst intensiver Monat. Die Ransom- oder Malware “WannaCry” hatte am Freitag, den 12. Mai binnen kürzester Zeit viele Systeme lahm gelegt. Ransomware oder Verschlüsselungstrojaner, sind Schadprogramme mit deren Hilfe ein Eindringling Daten auf dem fremden Computer verschlüsselt und somit den Zugriff auf sie verhindert, um für die Entschlüsselung oder Freigabe ein Lösegeld zu fordern. Inzwischen sind bereits kostenpflichtige sowie kostenfreie Baukastensysteme, sogenannte Crimeware-Kits, in Untergrundforen aufgetaucht, mit deren Hilfe Ransomware erstellt werden kann. Auch WannaCry (WanaCrypt, WanaCryptor oder WCry) basiert auf im Internet verbreiten Vorgaben.

Die Version vom 12. Mai 2017 ist eigentlich bereits die 2. Version dieser Malware. Die erste Version erschien bereits vor ein paar Monaten und wurde per Phishing-Emails verbreitet. Der Nutzer musste folglich die Email lesen und die Beilage öffnen um den Computer zu infizieren. Die neue Version vom 12. Mai verbreitete sich viel schneller als die Ursprüngliche. Sie benutzte zur Verteilung zusätzlich ETERNALBLUE, einen Software Exploit (eine Methode um die Sicherheitsmechanismen einer Software zu umgehen), welcher vor einigen Jahren von der NSA (U.S. National Security Agency) entwickelt wurde. Im April dieses Jahre hatte eine Gruppe, welche sich “ShadowBrokers” nennt, den Source-Code dieser Software und einige weitere Werkzeuge der NSA im Internet für alle zugänglich veröffentlicht.

Bis heute wissen wir nicht genau, wie WannaCry sich anfangs im Internet verbreitete, nur wenn sich irgendwo eingenistet hat, dann via Microsoft’s SMB File-Sharing Protokoll. Microsoft wusste um diese Schwäche und hat bereits am 14. März 2017 eine Patch veröffentlicht, der diese Schwachstelle unterbindet. Aber offensichtlich gab es noch immer viele ältere oder noch nicht upgedatete Windows-Systeme, die der Malware schutzlos gegenüber standen. Microsoft ging sogar noch einen Schritt weiter und hat Patches für bereits nicht mehr unterstützte Systeme wie Windows XP veröffentlicht.

Sollten Sie diesen Bild sehen ist es zu spät …. . Ihre Daten wurden bereits verschlüsselt und die original Dateien gelöscht. Ob Sie diese jemals wieder zurück erhalten ist sehr fraglich. Sie können eventuell einige Dateien wiederherstellen mit einem Werkzeug, welches sich “Shadow Explorer” nennt. Dieses kann “Shadow” Dateien (Backups, welche durch normale Windows Prozesse ausgeführt werden) wiederherstellen oder einige Undelete-Softwarepakete können die gelöschten Dateien wiederherstellen. Eine vertiefte Analyse von Symantec hat allerdings gezeigt, dass die Dateien in den System-Ordnern Desktop und MyDocuments definitiv gelöscht und überschrieben wurden.

Willkommen im Zeitalter der Vernetzung, willkommen im Zeitalter des Internets der Dinge und der Tränen.