WannaCry – Informationen und Schutz vor dem Krypto-Trojaner

Pirat,

im Verlauf des späten Freitagnachmittags wurde eine internationale Cyber Attacke auf alle Windows Client Betriebssysteme (XP, Vista, 7, 8, 8.1 und Windows 10 Systeme), sowie auf Windows Server Systeme (2003, 2008 (+R2), 2012 (+R2), 2016) durchgeführt. Auch die DeutscheBahn ist betroffen.

Was wir bisher wissen:

Der Kryptotrojaner mit dem Namen WannaCry hat mehr als 200.000 Computer verschlüsselt. Die ersten Meldungen kamen aus Großbritannien, wo Computer des nationalen Computersystems infiziert worden sind. Die Ransomware nutzt dabei eine Schwachstelle, die von Microsoft  im März (MS17-010) bereits gepatcht wurde und unter dem Expoit “Eternal Blue” bekannt ist. Veröffentlicht wurde diese Sicherheitslücke im April von einer Gruppe, die als “ShadowBrokers” bekannt ist. Diese Schwachstelle wurde vermutlich von der NSA genutzt, um Zielcomputer zu übernehmen. ShadowBrokers veröffentlichte weitere Dateien mit Tools der NSA, einschließlich des SMB-Exploits namens ETERNALBLUE.

Die Ransomware unterstützt aktuell 28 unterschiedliche Sprachen, verschlüsselt 179 verschiedene Dateitypen und zwingt Betroffene Geld in Höhe von $300-$600 via Bitcoins zu überweisen um die Verschlüsselung zu entfernen. Dass das Schadprogramm sich so rasant verbreitet hat, lag wohl vor allem an der ausgezeichneten Vorarbeit des US-Geheimdienstes NSA. Die hatte die Lücke in dem Microsoft-Code entdeckt. Zwar warnte der Geheimdienst das Unternehmen, programmierte aber gleichzeitig wohl auch das Werkzeug (mit dem NSA-Codenamen Eternalblue), das die Lücke ausnutzt.

 

Wie arbeitet Ransomware generell

Wie Ransomware generell funktioniert, illustriert diese Grafik des Wall Street Journal

Quelle: The Wall Street Journal

Sobald die Ransomware auf den Clients bzw. Servern hochgeladen wurde versucht sie (laut aktuellen Informationen) mit der URL „xxx.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com“ auf Port 80 zu kommunizieren. Zudem erstellt sie eine Datei namens: „tasksche.exe“ im %SystemRoot%  Verzeichnis und erstellt einen Service mit dem Namen: „mssecsvc2.0“. Sobald dies geschehen ist beginnt sie Dateien in klassischen Formaten wie:

  • jpeg
  • jpg
  • sql
  • mdb
  • doc/x
  • xls /x
  • avi
  • mp3
  • mp4
  • ppt/x

 

und viele mehr zu verschlüsseln. Dabei werden weitere Files erstellt. Die Files werden dann in verschlüsselter Form mit der Dateiendung *.WNCRY abgelegt – also beispielsweise „Agenda.docx.WNCRY“

Quelle: TrendMicro

Danach nutzt WannaCry das veraltete Server Message Block (SMBv1) Protokoll um sich im LAN zu verbreiten. Um sich auf andere Systeme zu verbreiten, verwendet er einen Dienst mit dem Namen “Microsoft Security Center (2.0)”. Dieser Dienst scannt nach anderen SMB-Shares im Netzwerk und nutzt die EternalBlue-Lücke, um sich auf andere Systeme zu verbreiten.

Was kannst du tun?

Zu allererst: Microsoft hat eine “Customer Guidance for WannaCrypt attacks” veröffentlicht.

Falls noch nicht geschehen solltest du umgehend das „Quality Update“ bzw. Cumulative Update von Mai (KB4019472 veröffentlicht am vergangenen Dienstag 09.05) installieren. Mindestens installiert sein muss das CU von März (KB4013429). Bereits installiert sein sollte das CU von April (KB4015217). Du solltest ebenfalls Demosysteme prüfen. Auch für veraltete Betriebssysteme (XP und 2003) wurden Sicherheitspatches veröffentlicht.

Die Gefahr ist noch nicht vorbei

Die Verbreitung der Ransomware wurde zwar durch den Clou mit der Homepage gestoppt, allerdings ist diese Kill Switch nur ein Provisorium. Deshalb solltest du Systeme, die sich nicht aktualisieren lassen, isoliert vom Netz betreiben werden. Zudem kannst du auch SMBv1, das bei der Verbreitung im LAN verwendet wird auch auf den Systemen und die entsprechenden Ports blocken bzw deaktivieren:

TCP Ports 22, 23, 3389, 139, und 145 sowie UDP 137 and 138.

Siehe auch:

Aktivieren und Deaktivieren von SMBv1, SMBv2 und SMBv3 in Windows und Windows Server – das geht auch per PowerShell und SCCM

 

 

Weitere Infos zu WannaCrypt findet ihr hier:

Microsoft Malware Protection Center:  https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/WannaCrypt

Customer Guidance for WannaCrypt attacks: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/?utm_source=windows-noob.com

McAfee Knowledge Center: https://kc.mcafee.com/corporate/index?page=content&id=KB89335

WannaCry — The largest ransom-ware infection in History: https://blog.comae.io/wannacry-the-largest-ransom-ware-infection-in-history-f37da8e30a58

Massive WannaCry/Wcry Ransomware Attack Hits Various Countries: http://blog.trendmicro.com/trendlabs-security-intelligence/massive-wannacrywcry-ransomware-attack-hits-various-countries/?utm_source=trendlabs-social&utm_medium=smk&utm_campaign=05-2017-wannacry

 

Auch beachten solltest du:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu ein “Lagedossier Ransomware” in aktualisierter Form veröffentlicht.

 

Betroffenen kann  eventuell dieser Link helfen: https://www.nomoreransom.org/index.html 

Das spanische Computer Emergency Response Team, hat ein eigenes Tool veröffentlicht, dass WannaCry stoppen soll: https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND

  1. Danke Captain!
    Schöne Zusammenstellung aller relevanten Infos!

    Antworten
    • Immer gerne. Grüße in den Süden.

      Antworten
  2. Schöner Artikel Alex.

    Antworten
  3. Ich durfte auf einer Security Konferenz live einem Angriff mit WannaCry beiwohnen und muss sagen es war beeindruckend. Das Setup wurde mit virtuellen Maschinen, mehreren Beamern und WireShark aufgebaut und WannaCry verlor kaum Zeit nachdem er auf dem Zielrechner ankam. Nicht schön für Betroffene – sehr interessant für Techniker.

    Antworten

Sende eine Antwort zu „WannaCry – Informationen und Schutz vor dem Krypto-Trojaner“

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

© 2017 IT-Pirate