Am Freitag, 2017-05-12, wurden zahlreiche Windows-Computersysteme weltweit vom Ransomware-Cryptolocker-Trojaner »WannaCrypt« alias »WannaCry« alias »Wcry« alias »Wana Decrypt0r« befallen, der Dateien verschlüsselt und für die versprochene Entschlüsselung Lösegeld in Bitcoin fordert.

Besonders stark betroffen ist das britische Gesundheitssystem National Health Service mit Krankenhäusern und Arztpraxen – was potentiell lebensgefährlich ist –, wo etwa nicht mehr auf Patientenakten zugegriffen oder geröntgt werden konnte und Operationen verschoben werden mußten. Aber zum Beispiel auch das Telekommuniktationsunternehmen Telefónica oder Anzeigensysteme der Deutschen Bahn.

Soweit ist das noch nichts neues; vor einem Jahr gab es das schon einmal in großer Dimension, besonders Deutschland war mit dem Trojaner »Locky« betroffen, auch Krankenhäuser. Neu ist hier jetzt:

Die Schadsoftware soll auf der Angriffssoftware »ETERNALBLUE« der »Equation Group« des US-Geheimdienstes National Security Agency (NSA) basieren, die der NSA entwendet (oder geleakt) wurde und von den Shadow Brokers im April 2017 veröffentlicht wurde. Microsoft hatte zwar am 14. März 2017 (wohl von der NSA nach ihrem Angriffswerkzeugverlust vorgewarnt) eine Sicherheitsaktualisierung für die kritische SMB-Lücke herausgegeben (MS17-010), die wurde aber offensichtlich in den zwei Monaten seitdem auf zahlreichen Systemen nicht eingespielt.

Nachtrag vom 2017-05-13:

Microsoft hat den Patch nun sogar auch für nicht mehr unterstützte Betriebssysteme wie Windows XP (seit drei Jahren nicht mehr supported) herausgebracht.

Gegenmaßnahmen

  • Regelmäßig und zeitnah Sicherheitsaktualisierungen einspielen.
  • Regelmäßige und automatische Datensicherungen, die mehrere Generationen vorhalten (nicht überschreiben) und wobei die Datenträger nicht von der Schadsoftware angegriffen werden können sollen. Und die Wiederherstellung muß funktionieren und deshalb getestet worden sein.

Dazu natürlich alle weiteren immer wieder genannten Sicherheitsmaßnahmen nicht vergessen: Starke und unterschiedliche Kennwörter benutzen; keine unbekannten Dateien öffnen/ausführen, nicht auf alles klicken, erst lesen und denken; Webbrowser und E-Mail-Programme absichern (Werbeblocker verwenden, JavaScript deaktivieren, …); alternative Software verwenden; Sandboxen, Container, virtuelle Maschinen benutzen; Netzwerke absichern; Zugriffsrechte einschränken; und so weiter und so fort.