Die Schadsoftware „Wanna Cry“, ein Erpressungstrojaner, der Dateien verschlüsselt und nur gegen eine Lösegeldzahlung wieder freigibt, hat sich nicht nur rasend schnell verbreitet, sondern auch schon hunderttausende Computer weltweit lahmgelegt.
Die Hauptwelle wurde geistesgegenwärtig von einem jungen Briten gestoppt, der herausgefunden hatte, daß die Software eine Abfrage an 2 bestimmte Domänen absetzt, bevor sie tätig wird. Erhält die Software eine Antwort stoppt sie ihr Vorhaben.
Die beiden Domänen sind:
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Seine Geistesgegenwart bestand darin, daß er diese im Internet nicht existierenden Domänen sofort selbst registrierte und einen Webserver aktivierte, der eine Antwort lieferte. Dadurch kam die Angriffswelle relativ schnell zum stehen. Hut ab !

Also Achtung ! Man sollte NICHT wie sonst üblich für einen verdächtigen Rechner gleich das Internet sperren !

Mittlerweile hat man relativ genau herausgefunden wie „Wanna Cry“ funktioniert und anhand der für die Verschlüsselung benutzten Zertifikate den starken Verdacht, daß die Urheber Hacker sind, die mit Nordkorea in Verbindung stehen.

Ist die Gefahr nun vorbei ? Nein. „Wanna Cry“ hat die Sicherheitslücke jetzt bekannt gemacht. Wer sie nicht schließt läuft Gefahr das Opfer von Trittbrettfahrern in naher Zukunft zu werden. Es gibt offensichtlich schon jetzt mehrere Versionen.

„Wanna Cry“ kopiert folgende Dateien auf einen infizierten Rechner:
%SystemRoot%\mssecsvc.exe (%SystemRoot% = Windows Verzeichnis)
%SystemRoot%\tasksche.exe
%SystemRoot%\qeriuwjhrf
b.wnry
c.wnry
f.wnry
r.wnry
s.wnry
t.wnry
u.wnry
taskdl.exe
taskse.exe
00000000.eky
00000000.res
00000000.pky
@WanaDecryptor@.exe
@Please_Read_Me@.txt
m.vbs
@WanaDecryptor@.exe.lnk
@WanaDecryptor@.bmp
274901494632976.bat
taskdl.exe
Taskse.exe
Files with “.wnry” extension
Files with “.WNCRY” extension

Wenn Sie also diese Dateien auf Ihrer Festplatte finden ist Ihr Rechner vermutlich infiziert aber der Trojaner evtl. noch nicht aktiv. Also einfach sofort Netzstecker ziehen und vom Fachmann prüfen lassen. (Nicht herunterfahren!)

Wenn Sie neuere Betriebssysteme haben, aber nicht alle Updates installiert haben. Insbesondere nicht die, von März, April und Mai, dann unterstützt Ihr neueres System u.U. das SMBv1 Protokoll (Client oder Server) über das sich „Wanna Cry“ im Netz zu verbreiten versucht. Hier finden Sie die Anleitung von Microsoft zum deaktivieren von SMBv1.
SMB kommuniziert auf dem TCP-Port 445. Dieser Port sollte in der Firewall „eingehend“ und „ausgehend“ sowieso geschlossen sein, was er aber in vielen Fällen nicht ist.