WannaCry: Microsoft-Anwender erneut im Visier von Erpressern

Eine Schadsoftwarewelle von bisher ungekanntem Ausmaß beschäftigt seit Freitag die IT-Welt. Nach der Schreckensmeldung aus Großbritannien breitete sich die Ransomware auf rund 150 Länder aus. Die ausgenutzte Sicherheitslücke - die als sehr kritisch einzustufen ist - betrifft alle Windows-Versionen. Die Schadsoftware namens WannaCry (WanaDecrypt0r 2.0) verschlüsselt die Dateien des betroffenen Rechners. Zum Entschlüsseln der Daten wird ein Lösegeld in Form von Bitcoins verlangt.

Der Konzernriese Microsoft gibt den Regierungen nach der globalen Cyber-Attacke eine Mitschuld. Die Begründung für die Anschuldigungen basieren darauf, dass WannaCry eine Schwachstelle im Betriebssystem ausnutzt, welche sich der US-Geheimdienst NSA einst für Überwachungsmaßnahmen aufgehoben hatte, über die automatisch neue Computer infiltriert werden können. Diese publizierte ein unbekannter Hacker vor einigen Monaten im Netz.

Der Befall kann über zwei Wege erfolgen:

1. Als Email Eingang. Bitte achten Sie daher verstärkt darauf, welche Emailanhänge Sie öffnen!
2. Ansteckungsgefahr: Bereits infizierte Rechner versuchen weitere Rechner im Netzwerk zu infizieren. Ein einzelner infizierter PC könnte daher die gesamte IT-Infrastruktur kompromittieren und lahmlegen.

 Notwendige Sofortmaßnahmen ·

• Bitte keine Dateianhänge von Mails voreilig öffnen! Öffnen Sie diese bitte erst, wenn Sie sicher sind, dass die Quelle vertrauenswürdig ist und Sie tatsächlich von diesem Absender Dateianhänge erwarten.
• Sorgen Sie dafür, dass der von Microsoft bereitgestellte Patch (KB4012212), der die von WannaCry ausgenützte Sicherheitslücke schließt, auf ALLEN Ihrer Windows-Systemen installiert wird.
• Achten Sie darauf, dass mobile Endgeräte, wie beispielsweise Laptops, bei der Aktion nicht übersehen werden.

Seien Sie darauf gefasst, dass die Angreifer ihre Angriffsszenarien und Schadsoftware verändern und der neuen Sicherheitslage anpassen. Zum Beispiel befand sich in der ursprünglichen Variante von WannaCry aus unerklärlichen Gründen ein „Notschalter“. Allerdings nützte dieser Betroffenen nichts mehr. Inzwischen sind Varianten aufgetaucht in denen dieser „Notschalter“ fehlt.

In jedem Fall ist eine Vorsorge besser als ein Notfall-Management mittels Anti-Viren-Lösung. Unsere Mailprotection setzt auf Open-Source-Komponenten und Kaspersky. Wer die aktuelle Version der Sicherheitssoftware verwendet, ist vor den Attacken weitestgehend geschützt.

Zusätzlich bietet unser Dokumentenmanagement-System (DMS) agorum® core einen weiteren Schutz und hilft bei der Wiederherstellung der beschädigten Daten. Das DMS bedient sich einer eigenen Historien-Funktion, welches die einzelnen Versionen der Datei dokumentiert. Bei einer Attacke modifiziert die Ransomware die einzelnen Daten um diese zu verschlüsseln. Durch den Vorgang der Veränderung entsteht eine neue Version der Datei. Mittels eines Skriptes lassen sich die verschlüsselten, unbrauchbaren Dateien in den Originalzustand zurückversetzen.