WannaCry

Ransomware - Erpressungs-Software

Zurzeit ist ein Erpressungstrojaner namens WannaCry (english) im Umlauf, der nicht nur die lokalen Dateien verschlüsselt, sondern auch verbundene Netzlaufwerke.

Gleichzeitig sucht er nach ungepatchten Geräten, um dann auch diese und deren Netzlaufwerke zu verschlüsseln. Die Schadsoftware nutzt zur Verbreitung eine seit März bekannte Sicherheitslücke im Windows-Betriebssystem aus.

Bin ich gefährdet?

Ja, wenn Sie mit einem Windows-Gerät arbeiten, das nicht über die aktuellen Sicherheitsupdates verfügt. Ihr Gerät kann z.B. in einem offenen WLAN innerhalb weniger Minuten gescannt und infiziert werden.

Was passiert dann?

Die auf dem Rechner gespeicherten Daten werden verschlüsselt, inklusive aller Netzlaufwerke und angeschlossener externer Harddisks oder USB-Sticks. Da hilft nur noch ein Backup, das hoffentich nicht auf einer angeschlossenen Festplatte mit verschlüsselt wurde. Nach erfolgter Verschlüsselung bekommen Sie dann eine Mitteilung auf dem Monitor angezeigt, über welchen Weg Sie Ihre Daten wieder auslösen können. Laut verschiedenen Sicherheitsexperten funktionert der Bezahlteil des Trojaners jedoch nicht richtig, weshalb man selbst bei Bezahlung die Daten nicht zurückbekommt.

Für Daten, die auf den zentralen Uni-Netzlaufwerken gespeichert sind, gibt es ein automatisches Backup.

Ich arbeite mit einem von einem ITSC gemanagten Gerät, was ist damit?

Gemanagte Rechner sind in der Regel gepatcht. Um sicher zu sein, oder bei länger abgeschalteten Geräten, sollten Sie Vorsicht walten lassen, sofort Ihren Landesk-Agenten starten und auch die AV-Signaturen erneuern. Wenn Sie unsicher sind, fragen Sie in Ihrem ITSC nach, dort hilft man Ihnen gerne.

Mein Gerät wird durch einen Computerverantwortlichen (CV) betreut, was ist damit?

Wenn Sie nicht sicher sind, ob Ihr Gerät gepatched ist, wenden Sie sich bitte an Ihren Computerverantwortlichen.

Ich arbeite mit meinem eigenen Gerät, was ist damit?

Für diese Geräte sind Sie verantwortlich. Ungemanagte Geräte müssen, falls nicht schon geschehen, sofort gepatcht werden. Patches gibt es für die aktuellen Windows-Versionen auf: Microsoft Security Bulletin - (Anleitung).
Damit der Rechner nicht während des patchens in Gefahr ist, die Patches am besten mit einem anderen, schon gepatchten Rechner herunterladen und dann auf dem ungepatchten Rechner ohne Internetverbindung (z.B. per USB-Stick) installieren. Alternativ kann auch die betroffene Windows-Funktion deaktiviert werden: Anleitung (in Englisch)

Auch für offiziell nicht mehr unterstützte Windows-Systeme gibt es Patches.

Bin ich infiziert?

Wenn auf Dateien plözlich nicht mehr zugegriffen werden kann und die Datei-Endung auf .WCRY endet, hat die Verschlüsselung begonnen. Der Rechner kann zwar noch benutzt werden, aber er ist daran, den Rest der Daten zu verschlüsseln und nach neuen Opfern zu suchen.

Sie müssen den Rechner sofort vom Netzwerk trennen und ihn abschalten. Waren Sie mit dem Uninetz verbunden? Informieren Sie anschliessend den ServiceDesk über angeschlossene Netzlaufwerke, damit dieser prüfen kann, wie gross der Schaden ist.
Mehr Details dazu gibt es hier (english).

Generelle Massnahmen

Die beste Absicherung gegen solcherlei Erpressungstrojaner ist ein gutes Backup. Dieses sollten nicht auf einem an den Rechner angeschlossenen Laufwerk abgelegt sein. Es besteht die Gefahr, dass es dort ebenfalls verschlüsselt wird.

Ein Verbreitungsweg für Schadsoftware ist E-Mail.
Auch wenn der Absender vertrauenswürdig ist, es sprachliche Ungereimtheiten gibt oder die Anfrage zweifelhalt ist, (zum Beispiel eine Aufforderung, sein E-Mail-Konto zu verifizieren), sollten sie Vorsicht walten lassen und beim Absender Nachfragen.
Bei E-Mails darum nur vertrauenswürdige Links anklicken beziehungsweise Dateien öffnen.

Ungepatchte Rechner dürfen nicht an das Netz angeschlossen werden. Zur allgemeinen Sicherheit gibt es einige Regeln für den Anschluss eines Rechners an das Universitätsnetz: Nutzungsbedingungen des Universitätsnetzwerks.