Ransomware erkennen, entfernen & vermeiden
"WannaCry" FAQ
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Wie schützt man sich vor "WannaCry"?
Security-Profis fanden schnell heraus, dass die "WannaCry"-Ransomware ein kleines Schadprogramm nutzt, das versucht, sich mit einer unregistrierten Web Domain zu verbinden. Schlägt die Verbindung fehl, schreitet die Infizierung des Systems voran. Klappt die Verbindung, wird die Infektion gestoppt. Durch die Registrierung und Befüllung der betreffenden Domain könnte ein unabhängiger Sicherheitsprofi unter Umständen einen "kill switch" gefunden haben, der die weitere Ausbreitung von Infektionen verhindern könnte. Erste Beobachtungen lassen eine Eindämmung zumindest vermuten.
Jerome Sagura, Sicherheitsexperte bei Malwarebytes, warnt jedoch vor zu viel Optimismus: "Es ist zu früh, um sicher sagen zu können, dass dieser Angriff vorbei ist. Es könnten andere Versionen der Ransomware auftauchen, die den ‚kill switch‘ einfach umgehen." Die schlechte Nachricht: Bereits infizierten Systemen hilft auch der "kill switch" nicht mehr. Sollten Sie von "WannaCry" oder einer anderen Ransomware-Variante betroffen sein, finden Sie in folgenden Beiträgen weiterführende Informationen und Handlungsanweisungen:
Microsoft veröffentlichte Stunden nach Bekanntwerden des Ransomware-Angriffs weitere Sicherheitsupdates für Windows XP, Windows Server 2003 und Windows 8, um die Verbreitung von "WannaCry" weiter einzudämmen. Was in jedem Fall Ihre erste Maßnahme sein sollte, sagt Ihnen der Security-Experte, der den "kill switch" für die Ransomware gefunden hat, am besten gleich selbst:
Version 1 of WannaCrypt was stoppable but version 2.0 will likely remove the flaw. You're only safe if you patch ASAP.
— MalwareTech (@MalwareTechBlog) 14. Mai 2017
Ist Wanawiki das Ransomware-Gegengift?
Für Nutzer, Unternehmen und Institutionen, deren Windows-XP- oder Windows-7-Rechner Opfer der WannaCry-Malware wurden, lautet die Antwort höchstwahrscheinlich ja. Auch infizierte Windows-Server-2003-Systemen soll das Tool Wanawiki helfen können.
Bei Wanawiki handelt es sich um ein Software-Tool, das von französischen Security-Experten entwickelt wurde und einen infizierten Rechner potenziell bereinigen kann. Dazu schnüffelt die Software die Ransomware aus, um den Verschlüsselungscode zu rekonstruieren, mit dem die Daten in erpresserischer Geiselhaft gehalten werden. Matt Suiche, Hacker und Mitbegründer von CloudVolumes, beschreibt in seinem Blogeintrag die genauen technischen Hintergründe zur Funktionsweise der Software.
Es gibt dabei jedoch zwei Dinge zu beachten: Zum einen dürfen die infizierten Rechner nicht neu gestartet werden, zum anderen sollten Betroffene das Wanawiki-Tool so schnell wie möglich herunterladen und ausführen.
Wer ist schuld an der Ransomware-Attacke?
Für viele die drängendste Frage: Wer ist schuld an der weltweit bislang größten Ransomware-Attacke? Die NSA und andere Geheimdienst‘ler? Microsoft? Die Unternehmen und Behörden selbst? Sehr wahrscheinlich sind es alle ein bisschen.
Microsofts Chief Legal Officer, Brad Smith, veröffentlichte im Rahmen eines Blogposts eine Stellungnahme zum "WannaCry"-Angriff: "Immer wieder sind Exploits, die sich in den Händen von Regierungsinstitutionen befinden, öffentlich gemacht worden und haben großen Schaden angerichtet. Dieser neue Angriff stellt eine Verbindung der beiden ernsthaftesten Bedrohungen für die IT Security dar: staatlich gelenkte Hackerangriffe und organisierte Cyberkriminalität."
Der Windows-Riese aus Redmond hatte die Sicherheitslücke, die "WannaCry" ausnutzt, bereits Mitte März gestopft. Weil dieses Update nur für neuere Windows-Versionen ausgerollt wurde, blieben - insbesondere - viele Unternehmens-Server ungepatcht. Das verdeutlicht ein weiteres Mal, dass es oft die ganz trivialen Dinge der IT Sicherheit - Beispiel Patch Management - im Unternehmen sind, bei denen der Schlendrian Einzug hält.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Dabei spielen natürlich auch Dinge wie Budgets eine Rolle, die, wenn es um die IT-Sicherheit geht, oft nicht so ausfallen, wie sie es sollten. Das Ergebnis sind auch veraltete Systeme, die aus Spargründen weiter genutzt werden. Schließlich ist ja noch nie etwas passiert. Oder sie haben es nur nicht bemerkt. Die erste weltweite Ransomware-Epidemie sorgt entsprechend für Diskussionsstoff unter Security- und IT-Experten. Dabei ruft "WannaCry" auch jede Menge (Galgen-)Humor hervor, wie ein Blick auf Twitter zeigt:
Boah, Glück gehabt. #NSA in your face. #WannaCry war nicht kompatibel. #Lokführer pic.twitter.com/CX8tO1csJ8
— Burkhard Lensing (@BurkhartLensing) 13. Mai 2017
Die aktuelle Stimmung bei den #WannaCry Entwicklern. #CyberAttack #Cyberangriff #Anzeigetafeln #nhscyberattack pic.twitter.com/4svHXWCDFZ
— Lbr (@__Labor__) 13. Mai 2017
Aus aktuellem Anlass ;-) #WannaCry #IoT #IT #Deutschland #Montagslaecheln #Wochenstart #Tabit ? pic.twitter.com/aSyiyx92Ct
— Tabit GmbH (@Tabit_GmbH) 15. Mai 2017
Absolut sicher. #Wannacry pic.twitter.com/LSE9Ctkq2K
— Benjamin Fischer (@befischer_) 14. Mai 2017