Deine IP: Unbekannt · Dein Status: GeschütztUngeschütztUnbekannt

WannaCry-Virus – was ist das?

Der Ransomware-Angriff WannaCry hat vor ein paar Jahren für viel Aufsehen gesorgt. Aber es scheint, dass es noch nicht ganz vorbei ist.

Werner Beckmann

Werner Beckmann

WannaCry-Virus – was ist das?

Was ist WannaCry?

WannaCry ist ein Ransomware-Kryptowurm, der die berüchtigten WannaCry-Cyberattacken ausgelöst hat. Die Hacker hatten es auf Windows-Computer abgesehen und verlangten Zahlungen in Bitcoins für verschlüsselte Daten. Sie nutzten den von der NSA entwickelten Exploit EternalBlue.

Der Angriff begann am 17. Mai 2017 und betraf über 300.000 Geräte in über 150 Ländern. Während die Lösegeldforderung relativ niedrig war (300 bis 600 Dollar), liegt der Gesamtschaden von WannaCry bei Millionen, wenn nicht sogar Milliarden von Dollar. WannaCry hat den britischen National Health Service erheblich geschädigt, indem es Tausende von Geräten beschädigt hat. Auch andere namhafte Unternehmen wie Renault, FedEx und die Deutsche Bahn waren betroffen. Zu den am meisten betroffenen Ländern gehörten Russland, die Ukraine, Indien und Taiwan.

Im Jahr 2017 gelang es Marcus Hitchins, einem britischen Hacker, den Angriff für einige Stunden zu stoppen, nachdem er den Kill-Switch entdeckt hatte, der die infizierten Geräte daran hinderte, den Angriff weiter zu verbreiten.

Wer entwickelte WannaCry?

Obwohl es keinen offiziell identifizierten Täter gibt, sind sich die USA, Kanada, Neuseeland, Japan und einige andere Regierungen einig, dass Nordkorea der Urheber des Angriffs ist. Die Regierungsexperten stützen ihre Schlussfolgerungen auf Code-Ähnlichkeiten mit der Lazarus Group, einer berüchtigten nordkoreanischen Cyberkriminellen-Organisation. Außerdem gaben koreanische Zeitstempel in den Metadaten der Ransomware Hinweise auf die Herkunft.

Wie funktioniert die WannaCry-Ransomware?

WannaCry verschlüsselt deine Daten und fordert ein Lösegeld im Austausch für einen Entschlüsselungsschlüssel. Die Opfer bekommen dann eine Lösegeldforderung mit Anweisungen auf ihren Bildschirmen zu sehen. Wenn sie das Lösegeld nicht zahlen, löschen die Kriminellen die Daten.

Wie bereits erwähnt, nutzte WannaCry die bereits bekannte Sicherheitslücke EternalBlue aus, die von der NSA entwickelt und später von der Gruppe ShadowBrokers bekannt gemacht wurde. EternalBlue nutzte die Implementierung des Windows Server Message Block (SMB) Protokolls aus, das die Kommunikation zwischen verschiedenen Netzwerkknoten ermöglicht. Hacker entdeckten, dass sie dieses Protokoll nutzen können, um manipulierte Pakete mit beliebigem Code einzuschleusen. Obwohl Microsoft einen Patch für die Sicherheitslücke veröffentlicht hat, verbreitete sich die Malware, weil viele Unternehmen ihn nicht rechtzeitig einspielten.

Die Kriminellen schleusen WannaCry auch über die DoublePulsar-Backdoor ein, die auf den Zielgeräten installiert ist. Wenn WannaCry auf dem Computer eines Opfers ankommt, extrahiert es bösartige Anwendungskomponenten wie die App, die deine Daten verschlüsselt und entschlüsselt, Dateien mit Verschlüsselungsschlüsseln und eine Kopie von Tor.

In seinem Inneren überprüft WannaCry zunächst den Kill-Switch-Domainnamen, der zum Blockieren von Schadsoftware verwendet wird. Wenn es ihn nicht findet, beginnt er, die wichtigsten Dateiformate wie doc, mp3 und mkvs zu verschlüsseln. Schließlich versucht es, sich über die EternalBlue-Schwachstelle auf beliebige Computer im Internet und in deinem Netzwerk zu verbreiten.

Ist WannaCry immer noch eine Gefahr?

Trotz der verfügbaren Patches und Informationen ist WannaCry immer noch eine aktive Bedrohung. Auch hier profitiert die Ransomware in der Regel von ungepatchten Systemen. Da wir auch heute noch Fälle von WannaCry erleben, ist es klar, dass das Patchen noch nicht allgemein üblich ist.

Wie kann ich mich vor einem WannaCry-Angriff schützen?

Hier sind ein paar Tipps, wie du dich vor dem WannaCry-Ransomware-Angriff schützen kannst:

  • Aktualisiere deine Software regelmäßig und implementiere die neuesten Patches. WannaCry hätte weniger Schaden anrichten können, wenn die Nutzende die entsprechenden Patches und Updates rechtzeitig installiert hätten.
  • Verwende immer die aktuellste Cybersicherheitssoftware, um Schadsoftware Einhalt zu gebieten.
  • Öffne auf keinen Fall verdächtige Links, Banner oder Anhänge. Lade auch keine Software von fragwürdigen Webseiten herunter, weil sie unerwünschte Überraschungen enthalten kann.
  • Vermeide es, USB-Sticks in deine Geräte zu stecken, denen du nicht 100%ig vertraust.
  • Verwende ein VPN, wenn du öffentliches WLAN nutzt, damit kein Cyberkrimineller deinen Datenverkehr abfangen kann. NordVPN bietet zudem die integrierte Bedrohungsschutzfunktion, die Tracker, Viren, Werbung und schädliche Webseiten blockiert.
  • Sichere deine Daten, damit du im Falle eines Ransomware-Angriff ein Back-up in der Hand hast, um nicht auf die Lösegeldanforderungen eingehen zu müssen.

Rundum-Sicherheit für dein Online-Leben. Blockiere Viren, Tracker, schädliche Werbung und mehr mit NordVPN.


Werner Beckmann
Werner Beckmann Werner Beckmann
Werner ist Copywriter und Wortjongleur bei NordVPN. Er recherchiert gerne die neuesten Trends in Sachen Cybersicherheit und berichtet über spannende Tech-Themen im NordVPN-Blog. Mit seinen Texten möchte er die Menschen über Online-Sicherheit aufklären und die Vision eines wahrhaft freien Internets vorantreiben.