Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

PC & Internet WannaCry: Weltweiter Erpressungstrojaner-Angriff auf Computernetzwerke

Der Erpressungstrojaner WannaCry (WanaDecrypt0r 2.0) ist am Freitag (12.05.2017) weltweit in Computernetze eingedrungen, zum Teil in kritische Infrastrukturen. Nach Angaben von Europol wurden 220.000 Computer in mindestens 150 Ländern von der Malware infiziert, die enorme Schäden anrichtete. Der Angriff wird sehr ernst genommen, in Deutschland ermittelt das BKA bereits, aber ebenso werden Polizei und Geheimdienste anderer betroffener Länder nach Spuren der Angreifer suchen.

WannaCry war sicher der am schnellsten verbreitete Erpressungs-Trojaner aller Zeiten: Innerhalb einer nur kurzen Zeitspanne hatte er 220.000 Computer in mindestens 150 Ländern befallen, verschlüsselt und die Besitzer mit Lösegeldforderungen erpresst. Nutzer wurden aufgefordert, eine an Stichtage gebundene Summe von zunächst 300 US-Dollar, später 600 US-Dollar in Bitcoin zu zahlen, sonst droht WannaCry mit Datenverlust. Innerhalb nur weniger Stunden registrierten die Anbieter von Antivirensoftware Kaspersky 45.000 Angriffe in 74 Ländern, Konkurrent Avast stellte gar 75.000 Attacken in 99 Ländern auf Nutzer seiner Schutzlösung fest. Nach ersten Einschätzungen lag der Schwerpunkt der Angriffe vor allem in Russland, der Ukraine und Taiwan, hieß es bei Avast in einem Blogeintrag.

Über die Identität der Verursacher der massiven Störungen ist noch nichts bekannt. Die Ransomware WannaCry verbreitet sich als Wurm von befallenen Systemen aus weiter über eine Sicherheitslücke in Windows Dateifreigaben (SMB) und kann ohne Umweg, wie verseuchte E-Mails, andere Rechner direkt über das Netz infizieren. Bisher sind fünf Bitcoin-Adressen der Erpresser bekannt geworden. Auf diese „Konten“ gingen nicht mehr als 100 Zahlungen ein. Daraus schließt man auf Erlöse von maximal rund USD 26.090, berichtet thehackernews.

Das SMB-Exploit, das derzeit von WannaCry genutzt wird, wurde als EternalBlue identifiziert und gehört zu einer Sammlung von Hacking-Tools, die angeblich von der NSA erstellt und dann von einer Hackengruppe, den „The Shadow Brokers“ , ins Netz gestellt worden ist.

So kann dieser Angriff als eine der größten Verbreitungskampagnen von Schadsoftware seit Jahren gewertet werden:

  • In Großbritannien soll er durch „technische Störungen“ des Nationalen Gesundheitssystems dazu geführt haben, dass Operationen abgesagt wurden, Röntgenaufnahmen und Patientenakten nicht mehr zugänglich waren und Telefone nicht mehr funktionierten, wie der Guardian berichtet. Nach offiziellen Angaben infizierte der Cyber-Angriff 48 Organisationen des staatlichen Gesundheitsdienstes NHS.
  • In Russland traf es Computer des Innenministeriums, es fielen rund 1.000 Computer aus, doch man kommentierte dort sogleich: Der Virus habe zu keinen Lücken geführt, die interne Informationen preisgegeben hätten. Inzwischen sei er lokalisiert, gab die Sprecherin des Ministeriums bekannt. Auch die Aufsicht über die Bank von Russland beruhigte laut Tass. Man habe keine Zwischenfälle festgestellt, die die Weitergaben von Daten der Banken betroffen hätten.
  • Weiterhin haben die massiven Cyber-Angriffe am Wochenende die Produktion der kooperierenden Autohersteller Renault und Nissan behindert. Renault stoppte den Betrieb in einigen Werken in Frankreich. In Spanien traf es den Telekom-Konzern Telefónica und in den USA den Versanddienst Fedex, in Schweden waren 70 Computer der Gemeinde Timrå betroffen, hieß es auf der Webseite der Verwaltung. Zahlreiche Kunden der Bank Millennium BCP hatten am Freitag lange keinen Zugriff auf ihre Online-Konten. Das Geldhaus teilte mit, man sei nicht attackiert worden, habe aber vor dem Hintergrund der Cyberattacke vorbeugende technische Vorkehrungen ergriffen.
  • In Deutschland wurden Rechner der deutschen Bahn infiziert. Der Schädling habe dabei die Systeme der Anzeigentafeln auf den Bahnhöfen befallen, bestätigte das Unternehmen am Samstag. Nach Angaben des Bundesinnenministeriums ist zudem die Videoüberwachung auf Bahnhöfen betroffen. Das Bundesinnenministerium teilte auf Twitter mit, dass das Bundeskriminalamt die Ermittlungen zu dem Erpressungs-Trojaner übernommen habe. Computersysteme der Bundesregierung seien nicht infiziert. Von dem Cyberangriff betroffene Institutionen sollten sich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) wenden. Innenminister Thomas de Maizière (CDU) betonte, der Angriff sei nicht der erste seiner Art, aber besonders schwerwiegend. Regierungsnetze seien aber nicht betroffen.
Aktuell scheint Wannacry sich nicht weiterzuverbreiten. Ein Sicherheits-Experte aus Großbritannien hat durch Zufall eine Art Selbstzerstörungs-Mechanismus der Software ausgelöst. Durch Untersuchungen fand er heraus, dass, bevor Wannacry mit seinem zerstörerischen Werk beginnt, er eine bestimmte Webadresse abruft, die aus obskuren Zahlen und Buchstaben besteht. Er schaute nach, ob es die Notfall-Webseite überhaupt gibt. Die Adresse war noch zu bekommen. Also registrierte er sie einfach, für günstige 9,77 Euro. „Wir hatten sofort 5.000 oder 6.000 Verbindungen die Sekunde“, erklärte der 22-Jährige aus Großbritannien gegenüber „Daily Beast„. Allerdings geht er davon aus, dass die Angreifer demnächst eine überarbeitete Version auf das Netz loslassen. Die Windows-Updates sollten also unbedingt trotzdem eingespielt werden. Als Held sieht sich der bei Twitter unter dem Namen „@MalwareTech“ aktive Sicherheitsexperte nicht. Das Ganze sei „völlig ohne Absicht“ passiert.

Für die Updates zur Schließung ihrer Sicherheitslücke sorgte Microsoft. In einer Blitzaktion erstellten sie Sicherheitsaktualisierungen für alle Kunden, um auch die Windows-Plattformen zu schützen, die nur in so genannter benutzerdefinierter Unterstützung sind, einschließlich für die eigentlich nicht mehr unterstützten Windows-Versionen. Darunter ist ebenso ein Update für das inzwischen 16 Jahre alte Windows XP, dessen Support der Konzern bereits 2014 eingestellt hatte, Windows 8 und Windows Server 2003. Wer eine aktuelle Version von Windows benutzt, muss sich keine Sorgen über den Fernangriff machen: Microsoft hat die NSA-Schwachstelle schon im März (durch den Software-Patch vom 14.03.2017 (MS17-010)) per Sicherheits-Update behoben. Zudem hat Microsoft nun öffentlich reagiert und im TechNet-Blog eine entsprechende Notiz für alle Betroffenen veröffentlicht.

CCC-Sprecher Linus Neumann wirft der NSA vor, Millionen Rechner weltweit in Gefahr gebracht zu haben. Auch kriminelle oder feindliche Geheimdienste hätten sie nutzen können. Dass die NSA nicht reagierte, um die Systeme selber befallen zu können, bezeichnet Neumann als „fundamental falsch“: „Das Schadenspotenzial steht in keinem Verhältnis zu den Zielen der Geheimdienste.“

Der US-amerikanische Whistleblower Edward Snowden beurteilt die Ereignisse ähnlich. Auf Twitter schreibt Snowden, es handele sich hier um einen ganz besonderen Fall. „Wenn die NSA die Sicherheitslücke, die für den Angriff auf Krankenhäuser genutzt wurde, geschlossen hätte, als sie sie gefunden haben, nicht erst als sie sie verloren haben, wäre der Angriff nicht passiert“, kritisiert der Whistleblower.

Sicherheitsexperten gehen davon aus, dass die Cyberangriffe mit Erpressersoftware noch nicht vorüber sind. Sie warnen zudem vor neuen Attacken: „Ich gehe davon aus, dass es von dieser Attacke früher oder später eine weitere Welle geben wird“, sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. Der Angriff über die Windows-Sicherheitslücke habe zu gut funktioniert, um aufzugeben.

Auch der Chef der europäischen Ermittlungsbehörde Europol, Rob Wainwright, gab am Sonntag dem britischen Fernsehsender ITV seine Einschätzung bekannt: „Die Zahlen gehen hoch.“ Die Welt habe mit einer wachsenden Bedrohung zu tun, meint Wainwright. Er rechnet mit noch mehr Fällen zu Beginn der neuen Arbeitswoche. Der Europol-Chef hält es für wahrscheinlich, dass mehrere Personen für den Cyber-Angriff verantwortlich sind.

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

Quelle: tarnkappe
 
Experten warnen vor Zahlung der Wanna-Crypt-Erpressersumme

Experten raten davon ab, im Falle einer Infektion mit Wanna Crypt die geforderten Bitcoin zu zahlen, denn offenbar sind die Angreifer vom Erfolg ihrer Operation überrascht. Ein kostenloses Werkzeug zum Wiederherstellen der Daten ist bislang auch nicht verfügbar.

sp_127832-139807-i_rc.jpg

Experten warnen davor, die Erpresser zu bezahlen. (Bild: Peter Parks/Getty Images)​

Wessen Rechner mit der Wanna-Crypt-Ransomware infiziert worden ist, sollte vorläufig davon absehen, den Erpresserbetrag zu zahlen. Bislang gibt es nur vereinzelte Berichte über eine erfolgreiche Entschlüsselung von Dateien, selbst wenn die Erpressersumme gezahlt wurde. Auch gravierende Fehler in den verwendeten Verschlüsselungsverfahren, die eine Entschlüsselung über ein Decryptor-Tool ermöglichen würden, sind bislang nicht bekannt.

Ein Sicherheitsforscher mit dem Pseudonym Hacker Fantastic schreibt auf Twitter: "Bezahlt die Erpressersumme NICHT, ein manueller menschlicher Operator muss die Entschlüsselung über den Tor Command-und-Control-Server freigeben." Weil es weltweit so viele Infektionen gebe, sei nicht zu erwarten, dass die Angreifer tatsächlich über die Ressourcen verfügen, die manuellen Entschlüsselungen zu starten.

Erste bestätigte Entschlüsselungen
Mikko Hypponen von F-Secure hingegen schreibt, man habe mittlerweile Bestätigungen von mehr als 200 Wanna-Crypt-Opfern, die nach Zahlung der Summe wieder Zugang zu ihren Daten bekommen hätten. Die dazu benötigten Informationen seien manuell übermittelt worden, was ebenfalls auf Probleme mit den Ressourcen bei den Angreifern hindeutet. Trotz der erfolgreichen Entschlüsselungen empfehle Hypponen aber nicht, den Betrag zu zahlen, wenn es sich irgendwie vermeiden ließe.

Die Ransomware nutzt für jede Infektion ein eigenes, auf dem Rechner generiertes RSA-2048-Schlüsselpaar. Der öffentliche Schlüssel wird in der Datei 00000000.pky abgelegt. Jede einzelne Datei wird dann wiederum mit einem AES-128-Schlüssel im CBC-Modus verschlüsselt. Dateien in verschiedenen Systemordnern werden nicht verschlüsselt, um die Stabilität des Systems nicht zu gefährden.

Sollte ein größerer Teil der Opfer selbst nach einer erfolgreichen Zahlung keinen Zugang zu den eigenen Daten bekommen, könnten die Wanna-Crypt-Macher den Entwicklern anderer Ransomware einen Bärendienst erwiesen haben. Denn nur wenn Menschen das Vertrauen haben, dass Dateien nach Zahlung der Erpressersumme auch wirklich wieder freigegeben werden, werden sie dies auch in Zukunft tun.

Quelle; golem
 
Vielleicht habe ich es nur überlesen, aber welche Systeme betrifft das denn? Windows? Und da alle Versionen?
 
Um umgekehrt zu antworten und wie in #1 auch teilweise zu lesen: Wannacrypt betrifft nicht Windows Vista, Windows 7, Windows 8.1 und Windows 10 sowie Windows Server, falls auf diesen Betriebssystemen der am 14. März 2017 zur Verfügung gestellte Sicherheits-Patch (MS17-010 Security Update 4013389) installiert wurde.

Laut Microsoft sind bisher nur die Betriebssysteme Windows 8, Windows Server 2003 und vor allem XP betroffen, da diese das oben genannte Update nicht erhalten hatten.

Inzwischen (13.05.) wurde aber auch für diese Betriebssysteme das Update KB4012598 zum Schutz gegen Wanna Crypt bereitgestellt.

Gruß

Fisher
 
das kommt davon
wenn man nur ein system vertraut
was noch nicht einmal alle kennen
lol
 
Entschlüsselungstool für Wanna Cry veröffentlicht
Der Erpressungstrojaner Wanna Cry hinterlässt auf manchen Rechnern Daten zur Wiederherstellung der verschlüsselten Dateien. Doch die Tools dürften nur bei wenigen Nutzern funktionieren.

Betroffene Nutzer des Erpressungstrojaners Wanna Cry können unter bestimmten Umständen ihre Daten ohne Zahlung eines Lösegeldes wiederherstellen. Der französische Sicherheitsforscher Adrien Guinet von Quarklabs entwickelte dazu das Tool
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, das die Primzahlen zur Generierung des privaten RSA-Schlüssels aus dem Arbeitsspeicher des infizierten Rechners wiederherstellen soll. Offenbar funktioniert das Verfahren unter bestimmten Umständen bei Nutzern von Windows XP, Windows 2003 und Windows 7.


Laut Guinet ist dies nur möglich, wenn der Rechner nach der Infektion nicht neu gebootet und die entsprechenden Speicherbereiche nicht anderweitig überschrieben wurden. Seiner Analyse zufolge erzeugt der Prozess wcry.exe die erforderlichen Primzahlen für den privaten RSA-Schlüssel. Diese Zahlen werden danach nicht umgehend aus dem Speicher gelöscht. Das sei allerdings kein Programmierfehler, sondern liege an der Windows Crypto API. Unter Windows 10 lösche die Funktion
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
jedoch umgehend den Speicher, so dass ein Auslesen der Zahlen nicht mehr möglich sei.

Kaspersky: Fast ausschließlich Windows 7 betroffen
Auf Basis dieser Möglichkeit hat der Programmierer Benjamin Delpy inzwischen das Tool
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
entwickelt. Wanakiwi basiert wiederum auf dem Tool
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, das die verschlüsselten Dateien entschlüsselt, wenn der private Schlüssel bekannt ist. Dieser Schlüssel wird mit Wanakiwi nach der von Guinet beschriebenen Methode zu generieren versucht.

Ob es tatsächlich schon Nutzer gegeben hat, die das Tool erfolgreich einsetzen konnten, ist unklar. Auf die entsprechende Frage von Guinet auf Twitter hat es bislang keine positive Antwort gegeben. Bei Neuinfektionen könnte das Tool jedoch eine Möglichkeit sein, die verschlüsselten Daten wiederherzustellen. Wichtig ist vor allem, möglichst schnell zu handeln und den Rechner nicht zu booten.

Anders als zunächst vermutet, handelt es sich bei den betroffenen Betriebssystemen in den allermeisten Fällen um Windows 7.
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
ist dies bei 98 Prozent der Opfer der Fall gewesen. Allerdings geht aus den veröffentlichten Zahlen nicht hervor, ob diese alle betroffenen Nutzer umfasst oder nur solche, die eine Antiviren-Software von Kaspersky installiert haben. Der Anteil von infizierten Rechnern mit Windows XP scheint demnach verschwindend gering gewesen zu sein. Windows 7 ist mit einem Anteil von knapp 50 Prozent immer noch die am weitesten verbreitete Windows-Version. Dahinter folgen Windows 10 mit rund 26 Prozent und Windows XP mit 7 Prozent.

Die Wanna-Cry-Ransomware verbreitet sich über einen Exploit aus dem Shadowbroker-Dump, der Schwachstellen im SMB-Dienst von Windows ausnutzt. Der Exploit wurde von der NSA entwickelt und über Jahre hinweg genutzt.

Quelle; golem
 
Zurück
Oben