News 15.05.2017, 09:44 Uhr

WannaCry: Was ist passiert? Was kann ich tun?

Am vergangenen Wochenende wurden rund 200'000 Computer in 150 Ländern von Malware befallen. Was genau geschah und was bei Ransomware hilft. PCtipp erklärt.
Bei der Attacke am vergangenen Wochenende sind geschätzte 200'000 Computer in 150 Ländern von der Ransomware WannaCry befallen worden – mit einem Schwerpunkt in Russland, der Ukraine und Taiwan. Die Rechner wurden von sogenannten Erpressungs-Trojanern befallen, die sie verschlüsseln und Lösegeld verlangen. Britische Experten hatten im Code der Schadsoftware eine von den Autoren eingebaute Notbremse gefunden, welche die Ausbreitung des Erpressungs-Trojaners vorerst stoppte.
In Deutschland übernahm das Bundeskriminalamt am Samstag die Ermittlungen, und auch in der Schweiz befasst sich die Melde- und Analysestelle Informationssicherung des Bundes (Melani) mit den Vorfällen. Gemäss Melani-Leiter Pascal Lamia seien auch in der Schweiz Opfer der Attacke zu finden. Anders als in Deutschland, Grossbritannien und anderen westeuropäischen Staaten habe es aber keine schwerwiegenden Vorfälle in öffentlichen Institutionen gegeben. Man geht von circa 200 verseuchten PCs aus. Die Gefahr ist aber trotzdem gross, wie eine Untersuchung von Advact zeigt. Testweise hat man gut 21'000 Angestellten von Unternehmen Ransomware-verseuchte Mails zugesandt. Rund 8,3 Prozent von ihnen haben die Mail samt Attachment geöffnet. 
Nach dem Befall mit der Ransomware stehen nun Tausende Unternehmen und Verbraucher vor der bangen Frage, ob sie in Kauf nehmen, dass ihre Daten in wenigen Tagen unwiederbringlich verloren gehen könnten – oder ob sie das geforderte Lösegeld bezahlen. Die Angreifer haben straffe Fristen gesetzt: Jetzt wollen sie 300 US-Dollar für die Entsperrung, ab dem 15. Mai das Doppelte – und am 19. Mai werden alle Daten angeblich gelöscht. In einigen früheren Fällen war es gelungen, den Verschlüsselungsmechanismus der Angreifer auszuhebeln. Diesmal wird das aber allein schon durch die geringe Zeitspanne erschwert.
Neu am Angriff vom Freitag war, dass der Erpressungs-Trojaner von allein neue Computer ansteckte, ohne dass ein Nutzer etwa auf einen präparierten Link klickte. Dadurch konnte sich das Schadprogramm binnen weniger Stunden weltweit ausbreiten und erreichte ein für Lösegeld-Software beispielloses Ausmass.

NSA-Sicherheitslücke verantwortlich – Microsoft-Patch war schon vorhanden

Das wurde erst möglich, weil das Programm laut Experten eine Sicherheitslücke ansteuerte, die ursprünglich der US-Abhördienst NSA für potenzielle Überwachungen gehortet hatte, statt sie Microsoft zu melden. Vor einigen Monaten hatten Hacker sie aber öffentlich gemacht. Microsoft hatte zwar schon Anfang des Jahres ein Update veröffentlicht, das die Schwachstelle schloss – aber jetzt traf es die Computer, auf denen das Update noch nicht installiert wurde. Nach der Attacke stellte der Konzern schnell auch ein Update fürs veraltete Windows XP bereit, das eigentlich nicht mehr gewartet wird. Die Attacke traf laut Experten viele XP-Rechner.
Am Freitag hatten die Folgen der Attacke viel Aufsehen erregt. In Grossbritannien wurden Spitäler lahmgelegt, in Spanien war der Telekom-Konzern Telefónica betroffen und in den USA der Versanddienst FedEx. Renault stoppte am Samstag die Produktion in mehreren französischen Werken, um die Ausbreitung der Schadsoftware zu verhindern, wie es hiess.
Die europäische Ermittlungsbehörde Europol sprach von einem beispiellosen Ausmass der Attacke und regte ein internationales Vorgehen der Behörden an, um die Hintermänner zu finden.
Auf der nächsten Seite: Automaten, Anzeigetafeln, Krankenhäuser – alles down! und: Wie sich die Malware ausbreitete



Kommentare
Es sind keine Kommentare vorhanden.