Ransomware-Attacke 2017

Die Ransomware WannaCry (WanaDecrypt0r 2.0) breitet sich seit Freitagabend im weltweiten Internet aus. Auch hierbei handelt es sich, ähnlich wie Locky um einen Kryptotrojaner, der Daten auf den betroffenen Computern verschlüsselt. Nur durch eine Zahlung in Bitcoin (Internetwährung) soll der Nutzer den Code für die Entschlüsselung erhalten, ansonsten sei die Löschung veranlasst. Nach aktuellen Zahlen sollen 126 Opfer insgesamt etwa 30.000 Euro gezahlt haben. Anders als Locky & Co springt der Schädling von einem infizierten Rechner auf andere, übers Netz erreichbare Windows-Systeme über. Weltweit sollen bereits über 250.000 Systeme betroffen sein.

 

WannaCry fährt Zweigleisig

 

Zum einen bedient sich WannaCry der schon bei Locky bewährten Methode sich via E-Mail zu verbreiten. Der Angriff auf die Deutsche Bahn am Wochenende soll ebenso gestartet worden sein, wie zwischenzeitlich ein Sprecher der DB bestätigte. Ist der Schädling einmal im System, sucht er umgehend nach weiteren Windows-Rechnern, um diese zu infizieren.

 

Zudem nutzt WannaCry eine kürzlich bekannt gewordene Lücke in Windows Dateifreigaben (SMB). Rechner in mehr als 80 Ländern sollen bereits mit Ransomware infiziert sein, begonnen hatte es mit britischen Krankenhäusern. Zwischenzeitlich hat die Ransomware aber auch zahlreiche Unternehmen, wie den O2-Mutterkonzern Telefónica (Spanien), FedEx (USA) oder die Deutsche Bahn erreicht.

 

Patchen, Patchen, Patchen

 

Alle Nutzer unterschiedlichster Windows-Versionen sollten die Updates von Microsoft umgehend einspielen! Microsoft hatte die Sicherheitslücke bereits im März durch Sicherheitsupdates geschlossen. Zu dem Zeitpunkt gab es die Updates nur für die aktuellen Systeme. Seit dem vergangenen Wochenende stellt Microsoft allerdings auch für ältere Windows-Versionen – dazu gehören insbesondere Windows XP und Windows Server 2003 – Patches zur Verfügung! Vorrangig sind alte Systeme von dem Befall betroffen, allerdings werden auch neue Systeme infiziert, wenn die automatische Installation von Sicherheits-Updates deaktiviert wurde!

 

Vorgehen

 

Kümmern Sie sich sofort um die Aktualisierung Ihrer Server sowie Arbeitsplatzrechner!

 

Sofern Sie Hilfe benötigen, unterstützen wir Sie gerne. Bitte achten Sie in jedem Fall darauf, E-Mails von unbekannten Absendern nicht unbedacht zu öffnen und zögern Sie nicht uns zu Rate zu ziehen.

 

Sollten Sie ein infiziertes System haben, gehen Sie bitte wie folgt vor:

 

Sofortmaßnahmen:

- Fahren Sie das befallene System sofort herunter

- Schalten Sie Sicherungsserver oder Sicherungs-NAS Systeme sofort aus

- Werfen Sie Sicherungsmedien aus (z.B. RDX, LTO-Medien) bzw.

- Trennen Sie externe Sicherungsmedien (z.B. USB Festplatten)

- setzen Sie sich mit uns in Verbindung zum weiteren Vorgehen

Kommentar schreiben

Kommentare: 0