WannaCry ist ein spezielles Programm, das alle Daten im System blockiert und dem Benutzer nur zwei Dateien hinterlässt: Anweisungen, was als nächstes zu tun ist, und das Wanna Decryptor-Programm selbst – ein Tool zum Entsperren von Daten.

Die meisten Computersicherheitsunternehmen verfügen über Lösegeld-Entschlüsselungstools, mit denen Software umgangen werden kann. Für Normalsterbliche ist die Methode der „Behandlung“ noch unbekannt.

WannaCry-Entschlüsseler ( oder WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0), wird bereits als „Virus des Jahres 2017“ bezeichnet. Und das nicht ohne Grund. Allein in den ersten 24 Stunden nach Beginn der Verbreitung infizierte diese Ransomware mehr als 45.000 Computer. Einige Forscher gehen davon aus, dass derzeit (15. Mai) bereits mehr als eine Million Computer und Server infiziert sind. Wir möchten Sie daran erinnern, dass die Ausbreitung des Virus am 12. Mai begann. Betroffen waren zunächst Nutzer aus Russland, der Ukraine, Indien und Taiwan. Derzeit breitet sich das Virus in Europa, den USA und China mit hoher Geschwindigkeit aus.

Die Informationen wurden auf Computern und Servern von Regierungsbehörden (insbesondere dem russischen Innenministerium), Krankenhäusern, transnationalen Konzernen, Universitäten und Schulen verschlüsselt.

Wana Decryptor (Wanna Cry oder Wana Decrypt0r) hat die Arbeit von Hunderten von Unternehmen und Regierungsbehörden auf der ganzen Welt lahmgelegt

Im Wesentlichen handelt es sich bei WinCry (WannaCry) um einen Exploit der EternalBlue-Familie, der eine ziemlich alte Schwachstelle im Windows-Betriebssystem (Windows XP, Windows Vista, Windows 7, Windows 8 und Windows 10) ausnutzt und sich unbemerkt in das System lädt. Anschließend verschlüsselt es mithilfe entschlüsselungsresistenter Algorithmen Benutzerdaten (Dokumente, Fotos, Videos, Tabellenkalkulationen, Datenbanken) und verlangt ein Lösegeld für die Entschlüsselung der Daten. Das Schema ist nicht neu, wir schreiben ständig über neue Arten von Dateiverschlüsselern – aber die Verteilungsmethode ist neu. Und dies führte zu einer Epidemie.

Wie der Virus funktioniert

Die Malware durchsucht das Internet nach Hosts, die nach Computern mit offenem TCP-Port 445 suchen, der für die Bedienung des SMBv1-Protokolls verantwortlich ist. Nachdem das Programm einen solchen Computer entdeckt hat, unternimmt es mehrere Versuche, die EternalBlue-Schwachstelle darauf auszunutzen, und installiert im Erfolgsfall die DoublePulsar-Hintertür, über die der ausführbare Code des WannaCry-Programms heruntergeladen und gestartet wird. Bei jedem Ausnutzungsversuch prüft die Malware, ob DoublePulsar auf dem Zielcomputer vorhanden ist, und lädt die Malware, sofern sie erkannt wird, direkt über diese Hintertür herunter.

Diese Pfade werden übrigens von modernen Antivirenprogrammen nicht verfolgt, was zu der großen Verbreitung der Infektion geführt hat. Und das ist ein riesiger Kopfsteinpflasterstein im Garten der Entwickler von Antivirensoftware. Wie konnte das passieren? Wofür nimmst du Geld?

Nach dem Start verhält sich die Malware wie eine klassische Ransomware: Sie generiert für jeden infizierten Computer ein eindeutiges asymmetrisches RSA-2048-Schlüsselpaar. Dann beginnt WannaCry, das System nach bestimmten Arten von Benutzerdateien zu scannen, wobei diejenigen, die für das weitere Funktionieren wichtig sind, unberührt bleiben. Jede ausgewählte Datei wird mit dem AES-128-CBC-Algorithmus mit einem für jede Datei einzigartigen (zufälligen) Schlüssel verschlüsselt, der wiederum mit dem öffentlichen RSA-Schlüssel des infizierten Systems verschlüsselt und im Header der verschlüsselten Datei gespeichert wird. In diesem Fall wird die Erweiterung zu jeder verschlüsselten Datei hinzugefügt .wncry. Das RSA-Schlüsselpaar des infizierten Systems wird mit dem öffentlichen Schlüssel der Angreifer verschlüsselt und an deren Kontrollserver im Tor-Netzwerk gesendet. Anschließend werden alle Schlüssel aus dem Speicher des infizierten Computers gelöscht. Nach Abschluss des Verschlüsselungsvorgangs zeigt das Programm ein Fenster an, in dem Sie aufgefordert werden, innerhalb von drei Tagen einen bestimmten Bitcoin-Betrag (entspricht 300 US-Dollar) auf die angegebene Wallet zu überweisen. Geht das Lösegeld nicht rechtzeitig ein, wird der Betrag automatisch verdoppelt. Wenn WannaCry am siebten Tag nicht vom infizierten System entfernt wird, werden die verschlüsselten Dateien zerstört. Die Meldung wird in der Sprache angezeigt, die der auf dem Computer installierten Sprache entspricht. Insgesamt unterstützt das Programm 28 Sprachen. Parallel zur Verschlüsselung scannt das Programm beliebige Internet- und lokale Netzwerkadressen auf eine spätere Infektion neuer Computer.

Untersuchungen von Symantec zufolge ist der Algorithmus der Angreifer zur Verfolgung individueller Zahlungen an jedes Opfer und zum Versenden des Entschlüsselungsschlüssels mit einem Race-Condition-Fehler implementiert. Damit sind Lösegeldzahlungen sinnlos, da in keinem Fall einzelne Schlüssel versendet werden und die Dateien verschlüsselt bleiben. Es gibt jedoch eine zuverlässige Methode zum Entschlüsseln von Benutzerdateien, die kleiner als 200 MB sind, und es besteht auch eine gewisse Chance, größere Dateien wiederherzustellen. Darüber hinaus ist es auf veralteten Windows XP- und Windows Server 2003-Systemen aufgrund der Besonderheiten der Systemimplementierung des Algorithmus zur Berechnung von Pseudozufallszahlen sogar möglich, private RSA-Schlüssel wiederherzustellen und alle betroffenen Dateien zu entschlüsseln, wenn der Computer dies nicht getan hat wurde seit dem Zeitpunkt der Infektion neu gestartet. Später erweiterte eine Gruppe französischer Cybersicherheitsexperten von Comae Technologies diese Funktion auf Windows 7 und setzte sie in die Praxis um, indem sie das Dienstprogramm im öffentlichen Bereich veröffentlichte WanaKiwi, mit dem Sie Dateien ohne Lösegeld entschlüsseln können.

Der Code früherer Versionen des Programms enthielt einen Selbstzerstörungsmechanismus, den sogenannten Kill Switch – das Programm überprüfte die Verfügbarkeit zweier bestimmter Internetdomänen und wurde, falls vorhanden, vollständig vom Computer entfernt. Dies wurde erstmals am 12. Mai 2017 von Marcus Hutchins entdeckt. (Englisch) Russisch , ein 22-jähriger Virenanalyst des britischen Unternehmens Kryptos Logic, der auf Twitter unter dem Spitznamen @MalwareTechBlog schreibt und eine der Domains auf seinen Namen registriert hat. Dadurch konnte er die Verbreitung dieser Modifikation des Schadprogramms vorübergehend teilweise blockieren. Am 14. Mai wurde die zweite Domain registriert. In nachfolgenden Versionen des Virus wurde dieser Selbstdeaktivierungsmechanismus entfernt, dies geschah jedoch nicht im Quellprogrammcode, sondern durch Bearbeiten der ausführbaren Datei, was darauf hindeutet, dass der Ursprung dieses Fixes nicht bei den Autoren des ursprünglichen WannaCry lag , sondern von Angreifern Dritter. Dadurch wurde der Verschlüsselungsmechanismus beschädigt, und diese Version des Wurms kann sich nur verbreiten, indem sie anfällige Computer findet, ist jedoch nicht in der Lage, ihnen direkten Schaden zuzufügen.

Die hohe Verbreitungsrate von WannaCry, die nur bei Ransomware auftritt, wird durch die Ausnutzung einer Schwachstelle im SMB-Netzwerkprotokoll des Microsoft Windows-Betriebssystems gewährleistet, die im Februar 2017 veröffentlicht und im Bulletin MS17-010 beschrieben wurde. Wenn im klassischen Schema die Ransomware durch die Aktionen des Benutzers selbst per E-Mail oder Weblink auf den Computer gelangt ist, ist im Fall von WannaCry eine Beteiligung des Benutzers vollständig ausgeschlossen. Die Zeit zwischen der Erkennung eines anfälligen Computers und seiner vollständigen Infektion beträgt etwa 3 Minuten.

Das Entwicklungsunternehmen hat das Vorhandensein einer Schwachstelle in absolut allen Benutzer- und Serverprodukten bestätigt, die über eine Implementierung des SMBv1-Protokolls verfügen – beginnend mit Windows XP/Windows Server 2003 und endend mit Windows 10/Windows Server 2016. Am 14. März 2017 wurde Microsoft hat eine Reihe von Updates veröffentlicht, die die Schwachstelle in allen unterstützten Betriebssystemen beseitigen sollen. Nach der Verbreitung von WannaCry unternahm das Unternehmen den beispiellosen Schritt, am 13. Mai auch Updates für nicht mehr unterstützte Produkte (Windows XP, Windows Server 2003 und Windows 8) zu veröffentlichen.

Verbreitung des WannaCry-Virus

Das Virus kann sich auf verschiedene Arten verbreiten:

• Über ein einziges Computernetzwerk;
• Per E-Mail;
• Per Browser.

Ich persönlich verstehe nicht ganz, warum die Netzwerkverbindung vom Antivirenprogramm nicht gescannt wird. Die gleiche Infektionsmethode wie durch den Besuch einer Website oder eines Browsers beweist die Hilflosigkeit der Entwickler und dass die geforderten Mittel für lizenzierte Software zum Schutz eines PCs in keiner Weise gerechtfertigt sind.

Symptome einer Infektion und Behandlung des Virus

Nach erfolgreicher Installation auf dem PC des Benutzers versucht WannaCry, sich wie ein Wurm über das lokale Netzwerk auf andere PCs auszubreiten. Verschlüsselte Dateien erhalten die Systemerweiterung .WCRY und werden dadurch vollständig unlesbar und es ist nicht möglich, sie selbst zu entschlüsseln. Nach der vollständigen Verschlüsselung ändert Wcry das Desktop-Hintergrundbild und hinterlässt „Anweisungen“ zum Entschlüsseln von Dateien in den Ordnern mit verschlüsselten Daten.

Zunächst erpressten die Hacker 300 US-Dollar für Entschlüsselungsschlüssel, erhöhten diese Zahl dann aber auf 600 US-Dollar.

Wie verhindern Sie, dass Ihr PC mit der Ransomware WannaCry Decryptor infiziert wird?

Laden Sie das Betriebssystem-Update von der Microsoft-Website herunter.

Was zu tun Ist Ihr PC infiziert?

Befolgen Sie die nachstehenden Anweisungen, um zu versuchen, zumindest einige der Informationen auf dem infizierten PC wiederherzustellen. Aktualisieren Sie Ihr Antivirenprogramm und installieren Sie den Betriebssystem-Patch. Ein Entschlüsselungsprogramm für diesen Virus existiert in der Natur noch nicht. Wir raten Angreifern dringend davon ab, ein Lösegeld zu zahlen – es gibt nicht die geringste Garantie dafür, dass sie Ihre Daten nach Erhalt des Lösegelds entschlüsseln.

Entfernen Sie die WannaCry-Ransomware mit einem automatischen Reiniger

Eine äußerst effektive Methode zur Arbeit mit Malware im Allgemeinen und Ransomware im Besonderen. Der Einsatz eines bewährten Schutzkomplexes garantiert eine gründliche Erkennung etwaiger Virusbestandteile und deren vollständige Entfernung mit einem Klick. Bitte beachten Sie, dass es sich um zwei verschiedene Prozesse handelt: die Deinstallation der Infektion und die Wiederherstellung von Dateien auf Ihrem PC. Die Bedrohung muss jedoch unbedingt entfernt werden, da es Informationen über die Einführung anderer Computertrojaner gibt, die sie nutzen.

1. Laden Sie das Programm zum Entfernen des WannaCry-Virus herunter. Klicken Sie nach dem Starten der Software auf die Schaltfläche Starten Sie den Computerscan(Scannen starten). Laden Sie das Ransomware-Entfernungsprogramm herunter Ich könnte heulen .
2. Die installierte Software erstellt einen Bericht über die beim Scannen erkannten Bedrohungen. Um alle erkannten Bedrohungen zu entfernen, wählen Sie die Option Beheben Sie Bedrohungen(Bedrohungen beseitigen). Die betreffende Schadsoftware wird vollständig entfernt.

Stellen Sie den Zugriff auf verschlüsselte Dateien wieder her

Wie bereits erwähnt, sperrt die Ransomware „no_more_ransom“ Dateien mit einem starken Verschlüsselungsalgorithmus, sodass verschlüsselte Daten nicht mit einem Zauberstab wiederhergestellt werden können – ohne eine beispiellose Lösegeldsumme zu zahlen. Einige Methoden können jedoch wirklich lebensrettend sein und Ihnen bei der Wiederherstellung wichtiger Daten helfen. Nachfolgend können Sie sich mit ihnen vertraut machen.

Automatisches Dateiwiederherstellungsprogramm (Entschlüsseler)

Ein sehr ungewöhnlicher Umstand ist bekannt. Diese Infektion löscht die Originaldateien in unverschlüsselter Form. Das Verschlüsselungsverfahren zu Erpressungszwecken zielt somit auf Kopien davon ab. Dadurch ist es möglich, dass Software wie z Datenwiederherstellung Pro gelöschte Objekte wiederherstellen, auch wenn die Zuverlässigkeit ihrer Entfernung gewährleistet ist. Es wird dringend empfohlen, auf das Verfahren zur Dateiwiederherstellung zurückzugreifen; seine Wirksamkeit steht außer Zweifel.

Schattenkopien von Bänden

Der Ansatz basiert auf dem Windows-Dateisicherungsprozess, der an jedem Wiederherstellungspunkt wiederholt wird. Eine wichtige Voraussetzung dafür, dass diese Methode funktioniert: Die Funktion „Systemwiederherstellung“ muss vor der Infektion aktiviert werden. Allerdings werden alle nach dem Wiederherstellungspunkt vorgenommenen Änderungen an der Datei nicht in der wiederhergestellten Version der Datei angezeigt.

Sicherung

Dies ist die beste aller nicht erpressenden Methoden. Wenn das Verfahren zum Sichern von Daten auf einem externen Server vor dem Ransomware-Angriff auf Ihren Computer verwendet wurde, müssen Sie zum Wiederherstellen verschlüsselter Dateien lediglich die entsprechende Schnittstelle aufrufen, die erforderlichen Dateien auswählen und den Daaus dem Backup starten. Bevor Sie den Vorgang durchführen, müssen Sie sicherstellen, dass die Ransomware vollständig entfernt wurde.

Suchen Sie nach möglichen Restkomponenten der WannaCry-Ransomware

Bei der manuellen Reinigung besteht die Gefahr, dass einzelne Teile der Ransomware übersehen werden, die der Entfernung als versteckte Betriebssystemobjekte oder Registrierungselemente entgehen könnten. Um das Risiko einer teilweisen Speicherung einzelner Schadelemente auszuschließen, scannen Sie Ihren Computer mit einem zuverlässigen Sicherheitssoftwarepaket, das auf Schadsoftware spezialisiert ist.

Dekodierung

Aber es gibt keine Informationen von denjenigen, die für die Entschlüsselung bezahlt haben, ebenso wenig wie es Informationen über die Absicht der Hacker gibt, die Seelen der Menschen zu beruhigen und die Informationen nach der Zahlung zu entschlüsseln ((((

Aber auf dem Hub gab es Informationen über das Funktionsprinzip der Entschlüsselungstaste sowie die Tatsache, dass Angreifer keine Möglichkeit haben, Benutzer zu identifizieren, die Bitcoins gesendet haben, was bedeutet, dass niemand den Opfern etwas wiederherstellen wird:

„Der Kryptor erstellt zwei Arten von Dateien: Erstens wird ein Teil mit 128-Bit-AES verschlüsselt und der generierte Entschlüsselungsschlüssel wird direkt an die verschlüsselte Datei angehängt. Auf diese Weise verschlüsselte Dateien erhalten die Erweiterung .wncyr Diese werden dann entschlüsselt, wenn Sie auf „Entschlüsseln“ klicken. Der Großteil der verschlüsselten Inhalte erhält die Erweiterung .wncry und der Schlüssel ist nicht mehr da.
In diesem Fall findet die Verschlüsselung nicht in der Datei selbst statt, sondern zunächst wird eine Datei auf der Festplatte erstellt, auf der der verschlüsselte Inhalt abgelegt wird, und dann wird die Originaldatei gelöscht. Dementsprechend besteht seit einiger Zeit die Möglichkeit, einen Teil der Daten mithilfe verschiedener Wiederherstellungsprogramme wiederherzustellen.
Um solchen Dienstprogrammen entgegenzuwirken, schreibt der Kryptor ständig allerlei Müll auf die Festplatte, sodass der Speicherplatz recht schnell verbraucht wird.
Aber warum es immer noch keine Informationen über die Zahlung und Mechanismen zu deren Überprüfung gibt, ist wirklich überraschend. Vielleicht ist der recht ordentliche Betrag (300 US-Dollar), der für einen solchen Scheck verlangt wird, einflussreich.“

Die Erfinder des WannaCry-Virus haben den temporären Schutz in Form einer bedeutungslosen Domain umgangen

Die Erfinder des Ransomware-Virus WannaCry, der Computer in mehr als 70 Ländern befallen hat, haben eine neue Version davon veröffentlicht. Es fehle an Code für den Zugriff auf eine bedeutungslose Domain, der verwendet wurde, um die Ausbreitung des ursprünglichen Virus zu verhindern, schreibt Motherboard. Die Veröffentlichung erhielt die Bestätigung des Auftretens einer neuen Version des Virus von zwei Spezialisten, die neue Fälle von Computerinfektionen untersuchten. Einer von ihnen ist Costin Raiu, Leiter des internationalen Forschungsteams bei Kaspersky Lab.

Experten machten keine Angaben darüber, ob in WannaCry weitere Änderungen vorgenommen wurden.

​Am 13. Mai wurde die Ausbreitung des Virus vom Proofpoint-Spezialisten Darien Hass und dem Autor des MalwareTech-Blogs gestoppt – sie stellten fest, dass der Virus auf einen bedeutungslosen Domainnamen zugreift und registrierten diese Adresse. Danach stellten sie fest, dass die Verbreitung von WannaCry gestoppt war – Experten wiesen jedoch darauf hin, dass die Ersteller des Virus höchstwahrscheinlich bald eine aktualisierte Version des Programms veröffentlichen würden.