Erpresser-Trojaner WannaCry: Was wir über die weltweite Attacke wissen – und was nicht

WannaCry: Was wir bisher über die Ransomware-Attacke wissen. Bild: Bacho Foto/Fotolia.com

Der Erpresser-Trojaner WannaCry hat in den vergangenen Tagen weltweit mehr als 200.000 Computer und Systeme lahmgelegt. Was ist das für ein Trojaner? Wie funktioniert er, und wer ist für die Attacke verantwortlich? Was wir bisher über den WannaCry-Angriff wissen – und was nicht.

Was ist WannaCry und was hat es mit dem weltweiten Cyber-Angriff auf sich?

WannaCry ist ein sogenannter Erpresser-Trojaner – auch Lösegeld-Trojaner oder Ransomware genannt. Das Schadprogramm infiziert Computer und verschlüsselt die Daten darauf so, dass man als normaler Nutzer nicht mehr darauf zugreifen kann.

Um die verschlüsselten Daten zurückzubekommen, soll man ein Lösegeld von 300 Dollar zahlen – in Form der anonymen Kryptowährung Bitcoin.

Seit Ende vergangener Woche hat WannaCry nach Angaben von Sicherheitsexperten wohl mehr als 200.000 Computer in über 150 Ländern befallen. Darunter waren Computer großer Unternehmen und Regierungsorganisationen, etwa das russische Innenministerium, der spanische Telefonkonzern Telefonica, und die Deutsche Bahn.

Was ist das Besondere an WannaCry?

Wie die meisten Erpresser-Trojaner kommt WannaCry zunächst einmal als Anhang einer Mail auf den Computer. Wer nicht aufpasst und diesen Anhang klickt, infiziert seinen Rechner. Das Besondere an WannaCry ist, dass es sich selber verbreiten kann. „Die Verbreitung erfolgt dabei ohne weiteres Zutun des Nutzers“, so das Bundesamt für Sicherheit in der Informationstechnik. „Dies kann insbesondere in Netzwerken von Unternehmen und Organisationen zu großflächigen Systemausfällen führen.“

Welche Computer werden von WannaCry angegriffen?

Betroffen sind Systeme mit dem Betriebssystem Microsoft Windows.

Kann ich mich gegen WannaCry schützen?

Jein. Der Mechanismus der Weiterverbreitung der Schadsoftware wird durch ein Software-Update von Microsoft vom 14. März 2017 (MS17-010) verhindert. Problem war allerdings, dass dieses Update zunächst nicht für ältere Windows-Versionen wie Windows XP und Windows Server 2003 zur Verfügung gestellt wurde. Updates für diese hat das Unternehmen am Samstag kurz nach Ausbruch der WannaCry-Epidemie nachgereicht, berichtet heise.de.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät zum Aufspielen dieses Patches, sofern das nicht bereits geschehen ist.

Warum sind trotzdem so viele Computer von dem Erpresser-Trojaner infiziert worden?

Weil viele Firmen das Update offenbar nicht eingespielt hatten. BSI-Präsident Arne Schönbohm sprach so auch von einem Weckruf, den WannaCry darstelle. „Die aktuellen Angriffe zeigen, wie verwundbar unsere digitalisierte Gesellschaft ist. Sie sind ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen. Die aktuelle Schwachstelle ist seit Monaten bekannt, entsprechende Sicherheitsupdates stehen zur Verfügung.“

Wer ist für den Cyber-Angriff verantwortlich?

Das ist derzeit noch nicht bekannt. Weltweit haben die Ermittlungen begonnen, unter anderem hat sich auch Europol eingeschaltet.

Welche Rolle spielt die amerikanische NSA im Fall WannaCry?

Übereinstimmenden Berichten zufolge hatte der amerikanische Auslandsgeheimdienst NSA die Sicherheitslücke in Windows entdeckt, über die WannaCry jetzt zuschlagen konnte. Statt Microsoft die Sicherheitslücke zu melden, habe die NSA für sich ein Angriffsprogramm entwickelt mit dem die Lücke ausgenützt werden kann. Dumm nur: Dieses Programm namens EternalBlue wurde wiederum einer Hackergruppe namens Shadow Brokers bekannt. Die machte das Problem öffentlich – und ermöglichte damit wohl den aktuellen Cyber-Angriff.

Wie gefährlich ist die Lage jetzt?

Nachdem ein Sicherheitsexperte am Wochenende eher durch Zufall eine Art Notschalter in WannaCry fand, war die erste Angriffswelle erst einmal gestoppt. Eine zweite Weller ist aber offenbar bereits im Anmarsch, meldet thehackernews.com. Auch dürften etliche bereits infizierte Computer in den kommenden Tagen beim Hochfahren blockiert werden.

Computer durch WannaCry gesperrt: Was tun?

Auf keinen Fall sollten Betroffene das geforderte Lösegeld bezahlen – ihre Daten werden sie nicht zurückbekommen. Wer Opfer eines Erpresser-Trojaners geworden ist, sollte versuchen, seinen Computer mit entsprechenden Reinigungsprogrammen zu säubern. Ansonsten ist Geduld gefragt: Bei ähnlichen Fällen in der Vergangenheit entwickelten Sicherheitsfirmen nach einiger Zeit Programme, mit denen die Erpresser-Trojaner gelöscht und die gesperrten Daten zurückgeholt werden konnten.