Der WannaCry-Virus ist ein Ransomware-Programm, das den EternalBlue-Exploit nutzt, um Computer zu infizieren, auf denen das Microsoft Windows-Betriebssystem ausgeführt wird. Die Ransomware ist auch als WannaCrypt0r, WannaCryptor, WCry und Wana Decrypt0r bekannt. Sobald es den Zielcomputer erreicht, verschlüsselt es schnell alle Dateien und markiert sie mit einer der folgenden Erweiterungen: .wcry, .wncryt Und .wncry.

Der Virus macht die Daten durch starke Verschlüsselung unbrauchbar, ändert das Desktop-Hintergrundbild, erstellt einen Lösegeldschein „Please Read Me!.txt“ und startet dann ein Programmfenster namens „WannaDecrypt0r“, das meldet, dass die Dateien auf dem Computer verschlüsselt wurden. Die Malware fordert das Opfer auf, ein Lösegeld in Höhe von 300 bis 600 US-Dollar in Bitcoin zu zahlen, und verspricht, alle Dateien zu löschen, wenn das Opfer das Geld nicht innerhalb von 7 Tagen zahlt.

Die Malware löscht Schattenkopien, um die Wiederherstellung verschlüsselter Daten zu verhindern. Darüber hinaus verhält sich Ransomware wie ein Wurm, denn sobald sie auf dem Zielcomputer landet, sucht sie nach anderen Computern, die sie infizieren kann.

Auch wenn der Virus verspricht, Ihre Dateien nach der Zahlung wiederherzustellen, gibt es keinen Grund, Kriminellen zu vertrauen. Das Site-Team empfiehlt, Ransomware im abgesicherten Modus mithilfe von Netzwerktreibern und mithilfe von Anti-Malware-Programmen wie zu entfernen.

Cyberkriminelle nutzten diese Ransomware bei einem massiven Cyberangriff, der am Freitag, dem 12. Mai 2017, startete. Jüngsten Berichten zufolge betraf der böswillige Angriff erfolgreich mehr als 230.000 Computer in mehr als 150 Ländern.

Die Auswirkungen eines Cyberangriffs sind verheerend, da der Virus auf Organisationen aus unterschiedlichen Branchen abzielt, wobei das Gesundheitswesen offenbar am stärksten betroffen ist. Aufgrund des Angriffs wurden verschiedene Krankenhausdienste eingestellt und Hunderte Operationen abgesagt. Die ersten großen Unternehmen, die von der Übernahme betroffen waren, waren Berichten zufolge Telefonica, Gas Natural und Iberdrola.

Bei einigen der betroffenen Unternehmen wurden Daten gesichert, bei anderen drohten tragische Folgen. Ausnahmslos allen Opfern wird empfohlen, WannaCry so schnell wie möglich zu entfernen, da dies dazu beitragen kann, eine weitere Verbreitung der Ransomware zu verhindern.

WannaCry verbreitet sich mithilfe des EternalBlue-Exploits

Der Hauptinfektionsvektor der WannaCry-Ransomware ist der EternalBlue-Exploit, eine Cyber-Spyware, die von der US-amerikanischen National Security Agency (NSA) gestohlen und von einer Hackergruppe namens Shadow Brokers online veröffentlicht wurde.

Der EternalBlue-Angriff zielt auf die Windows-Schwachstelle CVE-2017-0145 im Microsoft SMB-Protokoll (Server Message Block) ab. Laut Microsoft-Sicherheitsbulletin MS17-010 (veröffentlicht am 14. Mai 2017) wurde die Sicherheitslücke inzwischen behoben. Der von den Ausführenden verwendete Exploit-Code sollte ältere Windows 7- und Windows Server 2008-Systeme infizieren, Windows 10-Benutzer sind Berichten zufolge jedoch möglicherweise nicht von dem Virus betroffen.

Die Malware kommt normalerweise in Form eines Trojaner-Droppers, der eine Reihe von Exploits und die Ransomware selbst enthält. Der Dropper versucht dann, eine Verbindung zu einem der Remote-Server herzustellen, um die Ransomware auf den Computer herunterzuladen. Die neuesten Versionen von WannaCry werden über Girlfriendbeautiful[.]ga/ hotgirljapan.jpg?i =1 in der APAC-Region vertrieben. Ransomware kann jeden treffen, der keine Kenntnisse über die Verbreitung von Ransomware hat. Wir empfehlen daher, diesen von unseren Experten erstellten Leitfaden zur Verhinderung von WannaCry-Ransomware zu lesen:

1. Installieren Sie das kürzlich von Microsoft veröffentlichte Systemsicherheitsupdate MS17-010, das die von der Ransomware ausgenutzte Sicherheitslücke schließt. Updates wurden ausschließlich für ältere Betriebssysteme wie Windows XP oder Windows 2003 veröffentlicht.
2. Bleiben Sie auf dem Laufenden über Updates für andere Computerprogramme.
3. Installieren Sie ein zuverlässiges Antiviren-Tool, um Ihren Computer vor illegalen Versuchen zu schützen, Ihr System mit Malware zu infizieren.
4. Öffnen Sie niemals E-Mails, die von Fremden oder Unternehmen stammen, mit denen Sie keine Geschäfte machen.
5. Deaktivieren Sie SMBv1 mithilfe der Anweisungen von Microsoft.

Der Forscher zeigt Screenshots, die während des WannaCry-Angriffs aufgenommen wurden. Sie können das Wanna Decrypt0r-Fenster sowie das von WannaCry als Desktop-Hintergrund festgelegte Bild sehen, nachdem Sie das System infiziert und alle darauf befindlichen Dateien verschlüsselt haben.
Methode 1. (Abgesicherter Modus)
Wählen Sie „Abgesicherter Modus mit Netzwerk“ Methode 1. (Abgesicherter Modus)
Wählen Sie „Abgesicherten Modus mit Netzwerk aktivieren“

Wählen Sie „Abgesicherter Modus mit Eingabeaufforderung“ Methode 2. (Systemwiederherstellung)
Wählen Sie „Abgesicherten Modus mit Eingabeaufforderung aktivieren“
Methode 2. (Systemwiederherstellung)
Geben Sie „CD Restore“ ohne Anführungszeichen ein und drücken Sie die Eingabetaste.
Methode 2. (Systemwiederherstellung)
Geben Sie „rstrui.exe“ ohne Anführungszeichen ein und drücken Sie die Eingabetaste.
Methode 2. (Systemwiederherstellung)
Wählen Sie im angezeigten Fenster „Systemwiederherstellung“ „Weiter“
Methode 2. (Systemwiederherstellung)
Wählen Sie Ihren Wiederherstellungspunkt und klicken Sie auf „Weiter“
Methode 2. (Systemwiederherstellung)
Klicken Sie auf „Ja“ und beginnen Sie mit der Systemwiederherstellung ⇦ ⇨

Gleiten 1 aus 10

WannaCry-Versionen

Der Virus verwendet die kryptografische Verschlüsselung AES-128, um Dateien sicher zu sperren, hängt die Dateierweiterung .wcry an ihre Namen an und fordert dazu auf, 0,1 Bitcoin auf die bereitgestellte virtuelle Geldbörse zu übertragen. Die Schadsoftware wurde zunächst über Spam-E-Mails verbreitet; Dieser spezielle Virus brachte seinen Entwicklern jedoch keine großen Einnahmen. Obwohl sich herausstellte, dass die von dieser Ransomware verschlüsselten Dateien ohne einen Entschlüsselungsschlüssel nicht wiederhergestellt werden konnten, beschlossen die Entwickler, das Schadprogramm zu aktualisieren.

WannaCrypt0r-Ransomware-Virus. Dies ist ein anderer Name für die aktualisierte Version der Ransomware. Die neue Version zielt auf Windows-Schwachstellen als Hauptangriffsvektor ab und verschlüsselt alle auf dem System gespeicherten Dateien in Sekundenschnelle. Infizierte Dateien können durch Erweiterungen erkannt werden, die dem Dateinamen unmittelbar nach dem ursprünglichen Dateinamen hinzugefügt werden – .wncry, wncryt oder .wcry.

Es gibt keine Möglichkeit, beschädigte Daten ohne Backups oder einen privaten Schlüssel, der während des Datenverschlüsselungsprozesses erstellt wurde, wiederherzustellen. Der Virus verlangt typischerweise 300 US-Dollar, erhöht den Lösegeldpreis jedoch auf 600 US-Dollar, wenn das Opfer das Geld nicht innerhalb von drei Tagen zahlt.

Ransomware-Virus WannaDecrypt0r. WannaDecrypt0r ist ein Programm, das der Virus ausführt, nachdem er das Zielsystem erfolgreich infiltriert hat. Forscher haben bereits bemerkt, dass sich Versionen von Wanna Decryptor 1.0 und Wanna Decryptor 2.0 den Opfern nähern.

Die Malware zeigt eine Countdown-Uhr an, die anzeigt, wie viel Zeit noch verbleibt, um das Lösegeld zu zahlen, bevor der Höchstpreis erreicht ist, sowie eine identische Countdown-Uhr, die angibt, wie viel Zeit noch verbleibt, bis der Virus alle Daten von einem Computer löscht. Diese Version schockierte die virtuelle Community am 12. Mai 2017, obwohl sie einige Tage später von einem Sicherheitsforscher namens MalwareTech gestoppt wurde.