WannaCry: Neue Versionen und mehr Neuigkeiten

Es gibt neue Informationen zur Ransomware WannyCry. So wurden modifizierte Versionen gesichtet und es gibt neue Erkenntnisse. Hier ein kurzer Abriss.


Anzeige

Freitag und am Wochenende hat die Ransomware WannyCry, WannaCrypt oder wie man diese nennen mag ja sowohl Administratoren als auch Medien in Atem gehalten. Könnte nur eine kurze Atempause gewesen sein.

Neue Varianten gesichtet

Die erste Version der Ransomware war ja mit einem Kill-Switch im Code versehen, um die Verbreitung irgendwann stoppen zu können. Nur dem Zufallsfund eines Sicherheitsforschers ist es zu verdanken, dass die Ausbreitung dieser Version sehr frühzeitig gestoppt werden konnte. Trotzdem waren Hundertausende System befallen.

Bei Spiegel Online hatte ich einen vagen Hinweis auf eine neue Variante gelesen und hier im Blog ist ein entsprechender Kommentar. Aber Details lagen mir keine vor. Bei hackernews gibt es seit Samstag diesen Artikel, der sich auf mehrere Sicherheitsforscher bezieht, die Varianten des Erpressungstrojaners ohne Kill-Switch oder mit abweichenden Domainnamen gefunden haben wollen. In diesem Blog-Beitrag von heute gibt Matt Suiche Details an. Er beschreibt zwei neue Varianten des Trojaners.

  • Eine Variante wurde Matt Suiche von einem Twitter-Nutzer Namens @benkow_ zugesandt. Die Analyse zeigte, dass diese Version eine geänderte Domain ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com benutzt. Suiche konnte die Domain aber ebenfalls registrieren und so die weitere Infektion unterbinden.
  • Eine neue Variante ohne Kill-Switch wurde von Kaspersky heute (14.5.2017 in Russland) aufgespürt. Diese Variante konnte sich zwar verbreiten, aber keine Dateien auf dem Zielsystem verschlüsseln. Hintergrund: Die betreffende Archivdatei ist wohl beschädigt.

    Allerdings gibt es von Costin Raiu (Kaspersky) diesen Tweet, in dem er angibt, dass alle von ihm analysierten Varianten einen Kill-Switch enthalten und er seine erste Aussage korrigiere.

Der Blog-Beitrag enthält weitere spannende Details zu den Interna. Auch bei HackerNews findet sich dieser (etwas vagere) Beitrag. Es ist davon auszugehen, dass wird noch einiges zum Thema hören werden.

Tool zum Blocken

Das spanische Computer Emergency Response Team, CCN-CERT, hat ein Tool bereitgestellt, welches die weitere Infektion von Maschinen im Netzwerk durch WannaCry verhindern soll. Leider ist ein Teil der Beschreibungen in den Readme nur in Spanisch – eine Batchdatei steht auch in Englisch zur Verfügung. Im Google Chrome erscheint aber eine Warnung beim Download, dass Dateien diesen Typs Schäden anrichten können. Zudem werden wohl auch .exe-Dateien angeboten.

Administratoren sollten auf ihren Maschinen SMBv1 deaktivieren, da der Trojaner dessen Sicherheitslücke ausnutzt. Wie das geht, hat Microsoft hier beschrieben.

Angriffs- und Verbreitungsweg erklärt

Mich haben Hinweise erreicht, dass man sich wundert, dass der Schädling sich verbreiten konnte. Hier ein Textausriss:

was mich wundert: Es muss doch Port 445 offen sein? Und das ist er default ja nicht, bei mir in W10 Enterprise (CBB) ist er wohl zu. Haben die Opfer dann die Freigabe offen gehabt? Bisher hört man ja auch meistens von Firmen die es traf und nicht Enduser (die da eher nicht dran was ändern).
Schade dass zu diesem Aspekt kaum was zu lesen war, das mit dem Port sah ich bei Malwarebytes.
Für mich ist eine wichtige Regel dass meine Rechner das Profil "öffentliches Netzwerk" bekommen, im Büro und zuhause, dann ist schonmal einiges zu. Daten sind immer auf der externen Platte und Backups laden auch auf solchen.

Ob die Rechner den Port 445 offen hatten, entzieht sich meiner Kenntnis. Aber es gibt mehrere Angriffswege – einen hat heise.de in einem Nebensatz erwähnt (die Deutsche Bahn hat wohl der Redaktion einen Phishing-Angriff bestätigt). Bei ivanti.com gibt es diesen interessanten Beitrag vom 13. Mai 2017, der noch ein wenig auf das Thema eingeht. Auch Microsoft hat diesen Technet-Blog-Beitrag online gestellt.


Anzeige

Weitere Informationen

Generell sollen wohl über 200.000 Systeme befallen worden sein. Im Tracker werden aber nur noch wenige Systeme aufgeführt (der Rest ist offline). Finanziell hat es sich für den Entwickler des Trojaners wohl (noch) nicht gelohnt. Aktuell habe ich eben die Zahl von ca. 30.000 Euro an Bitcoins gelesen, die geflossen sein sollen. Und ein Sicherheitsanalyst, der einen Honeypot aufgesetzt hatte, konnte 6 Infektionen binnen 1,5 Stunden feststellen.

In diesem Sinne: Allseits schönes Restwochenende.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit veröffentlicht. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu WannaCry: Neue Versionen und mehr Neuigkeiten

  1. sandy sagt:

    Wie kann man sich als Endnutzer denn schützen?

  2. sandy sagt:

    @Tobi: Windows 10 habe ich nicht. Ich nutze Windows 7 und Windows 8.1.

  3. Rainer R. Friedrich sagt:

    Nach der Analyse von Malwarebytes verbreitet der sich im Netz indem er Ports abklopft:

    https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/

    Klar kann man sich auch per Mail etc., infizieren, aber das primäre wird via Wurmverbreitung über offene Ports sein.

    Windows hat m.W. defaultmässig Filesharing zu, zumindest ab 7 aufwärts.

    Da wäre es interessant wie der Schädling es schaffte soviele Rechner zu befallen.

  4. Richard sagt:

    Wie kann ich denn sehen, ob meine Server gepatcht sind? Es gibt zwar diese Liste https://technet.microsoft.com/de-de/library/security/ms17-010.aspx aber was bedeutet die Spalte "Updates Replaced" ganz rechts? Beispiel: "Windows Server 2008 R2 for x64-based Systems Service Pack 1 ", da gibt es die Einträge "(4012212) Security Only" und "(4012215) Monthly Rollup". Das steht wahrscheinlich für KB4012212 und KB4012215. Richtig? In besagter rechter Spalte steht auch noch "3212646". Ist damit KB3212646 gemeint? Wenn ja, bedeutet das, dass ich auch mit KB3212646 sicher bin? Oder müssen zwingend KB4012212 bzw. KB4012215 installiert sein? Oder KB4012212 bzw. KB4012215 UND KB3212646?

    • Ralph sagt:

      Verzeih mir und: ja, ich weiss, meine jetzige Aussage wird Unmut hervorrufen, aber: wenn Du nicht weisst, was die Angaben von MS bedeuten und wie Du herausfinden kannst, ob Deine Server auf einem aktuellen Stand sind, dann solltest Du wirklich keine Server betreiben. Erst recht nicht am öffentlichen Netz. Und um das auch gleich entsprechend zu beantworten, bevor gefragt wird: aus genau dem Grund betreibe ich keine Windows Server. Ich weiss einfach zu wenig, um sicherstellen zu können, dass ich mit einem Windows Server keine Gefahr für den Rest der Welt bin.

    • Dekre sagt:

      @Richard – Du musst mal alle Blogbeiträge hierzu lesen. Gehe mal dazu:
      http://www.borncity.com/blog/2017/05/13/wannacrypt-updates-fr-windows-xp-server-2003-co/

      Da habe ich in Ergänzung unten was eingestellt zu #KB4012212 und #KB4012215 und Diversen.

      Keine Panik bitte entfalten.

Schreibe einen Kommentar zu mandril Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.