Wie WannaCry Ransomware funktioniert

Wenn Sie wissen möchten, wie WannaCry Ransomware funktioniert, könnte ich es Ihnen erklären. Als Sie von Ihren Freunden hörten, dass ein globaler Hackerangriff auf Italien im Gange ist, wurden Sie sofort alarmiert. Und du hast das Richtige getan, wir würden es vermissen. Um mehr zu erfahren, haben Sie sich entschieden, im Netzwerk nach Informationen über den Virus zu suchen. WannaCrypt. Alles, was Sie wissen, ist, dass es sich um einen Malware-Wurm handelt, er ist ähnlich wie ein Trojaner und er wird auch als Wannacry Ransomware. Aber Sie möchten auch wissen, wie sich dieser Virus ausbreitet und wie Sie sich dagegen wehren können, nicht wahr? Nun, wenn ja, dann musst du nicht woanders suchen, das kann ich dir sagen.

In diesem Handbuch werde ich erklären, wie WannaCry Ransomware funktioniert. Genau genommen sage ich Ihnen, wie Sie den Virus einnehmen können, wie er sich verhält und wie Sie sich davor schützen können. Dann werden wir keine Zeit mehr verschwenden, wenn du zustimmst, gehen wir jetzt.

Wie WannaCry Ransomware funktioniert

Um Ihnen die Funktionsweise von WannaCry Ransomware näher zu bringen, habe ich mich entschieden, die Anleitung in mehrere Schritte aufzuteilen. Auf diese Weise kann ich Ihnen im Detail sagen, was WannaCry Ransomware ist, wie es sich verbreitet, wie es sich verhält und wie Sie sich davor schützen können. Nachfolgend finden Sie die Details in chronologischer Reihenfolge.

Index

Was ist WannaCrypt?

WannaCry Ransomware, technisch bekannt als WannaCrypt oder einfach WannaCry, ist eine Malware-Wurm ähnliche Ransomware, ähnlich einem Trojaner. Seine Verbreitung betrifft Computer mit Windows-Betriebssystem und hat sich seit dem 12. Mai 2017 etabliert. Wenn Sie Linux oder Mac haben, müssen Sie sich in diesem Fall keine Sorgen machen.

Malware gehört zur „Familie“ der Ransomware, d.h. Computerviren, die Daten auf dem PC verschlüsseln, sobald sie ausgeführt werden. Die von dieser Bedrohung am stärksten betroffenen Versionen von Windows sind die älteren. Zum Zeitpunkt des Schreibens scheint es, dass Windows 10 nicht betroffen ist.

Wenn Sie jedoch den am 14. März 2017 veröffentlichten Microsoft-Patch, Code MS17-010, nicht installieren, sind auch die neuesten Betriebssysteme gefährdet (der Link zum Herunterladen des Patches befindet sich in den nächsten Schritten). In der Regel erfolgen die Updates jedoch automatisch. Wenn Sie daher Windows Update unter Windows 10 oder anderen unterstützten Versionen nicht deaktiviert haben, sollten Sie bereits sicher sein.

Der Microsoft-Patch behebt einen Fehler in SMBv1, auf den sich WannaCry stützt. Diese Schwachstelle wird durch Exploits mit Eternalblue-Modulen ausgenutzt. Es ist eine Reihe von Tools für Hacker, die ähnliche Lecks ausnutzen. Diese Hacking-Tools, vermutlich und nach dem Glauben des Webs, scheinen von der NSA entwickelt worden zu sein. Sie wurden später von einer Gruppe von Hackern, den sogenannten ShadowBrokers, durchgesickert.

Um zu verstehen, wie WannaCry Ransomware funktioniert und wie sie sich im Netzwerk verbreitet, lesen Sie die folgenden Punkte.

Virusausbreitung

Die Verbreitung von WannaCry Ransomware hat sich in der ganzen Welt, einschließlich Italien, rasant entwickelt. In kurzer Zeit haben sich viele Computer mit dem Virus infiziert. Aber warum ist es passiert? Wie verbreitet sich WannaCry? So kann die Malware über verschiedene „Quellen“ auf Ihrem Computer landen. Die wichtigsten Verbreitungsmethoden sind:

  • E-Mail
  • Soziale Netzwerke
  • Websites
  • Wildbach
  • Lokales Netzwerk

Per E-Mail kommt der Virus getarnt als angehängte Datei oder Link an. Über soziale Netzwerke kannst du es nehmen, indem du einem Link folgst, der beispielsweise in die Kommentare aufgenommen wurde. Über Websites können Sie einen Vertrag abschließen, indem Sie immer den Links auf der Seite folgen. Von Torrents aus kann es über Dateien kommen, die vom P2P-Netzwerk gemeinsam genutzt werden.

Die ersten vier sind direkte Methoden. Ich meine, du bist diejenige, die den Akt macht, ihn unter Vertrag zu nehmen. Laden Sie beispielsweise die infizierte Datei herunter und öffnen Sie sie, die per E-Mail ankommt. Was die Verbreitung über das lokale Netzwerk betrifft, so ist das indirekt. Das bedeutet, dass einige der Benutzer im Netzwerk WannaCry nehmen, versehentlich ausführen und dem Virus die Chance geben könnten, auch in Ihren Computer zu gelangen.

Wenn Sie weiterlesen, können Sie verstehen, wie WannaCry Ransomware funktioniert und wie Sie sich gegen diese Bedrohung schützen können.

Betrieb

Wir lernen zu verstehen, wie WannaCry Ransomware funktioniert. Nach dem Öffnen führt der Virus einen Code aus, der den PC mit der Domäne verbindet, auf die er zeigt. Wenn die Domain registriert ist, erlischt der Virus. Wenn es gefälscht ist und nicht reagiert, was natürlich der Fall ist, startet es die Eternalblue-Module und nutzt die Schwachstelle in SMBv1 aus, um die DOUBLEPULSAR-Hintertür im Computer zu öffnen. Beginnen Sie an dieser Stelle mit der Verschlüsselung der Dateien auf Ihren Festplatten, indem Sie die Erweiterung .wnry.

Es stellt sich heraus, dass es eine Art Switch im Virencode gibt, bekannt als Kill-Switch, mit dem man den Virus stoppen kann. Der Brite von der MalwareTechder die gefälschte Domain für ein paar Dollar gekauft hat. Sobald es bekannt wurde, wurde die Version WannaCry 2.0 veröffentlicht, deren Code auf eine neue gefälschte Domain zeigt.

Im Netz, im Moment und davon weiß ich, gibt es zwei Versionen von WannaCry Ransomware, eine funktioniert und eine nicht. Durch Antippen des funktionierenden, nach der Überprüfung, führt die Ransomware den SMBv1-Exploit durch, um die DOUBLEPULSAR-Backdoor zu implantieren und alle Daten im Computer zu verschlüsseln. Dann zeigt es dem Benutzer die Warnung, dass Bitcoin-Zahlungen erforderlich sind, um die Dateien einzulösen. Natürlich wird alles über das Tor-Netzwerk abgewickelt, anonym und verschlüsselt.

Zu diesem Zeitpunkt nutzt Ransomware noch die Hintertür von DOUBLEPULSAR, um das lokale Netzwerk zu erreichen. Dies geschieht durch ein starkes Scannen des Netzwerks über den TCP-Port 445, d.h. über SMB (Server Message Block). So können sogar Server, NAS und andere Clients, die Windows verwenden und nicht aktualisiert wurden, wenn sie SMBv1 aktiv haben und wenn sie keine gute Antiviren- oder Firewall-Lösung haben, beeinträchtigt werden. Für weitere Informationen empfehle ich die Lektüre von dieser interessante Artikel geschrieben von Cisco’s Talos Intelligence Analysten.

Computerschutz

Jetzt, da Sie verstehen, wie WannaCry Ransomware funktioniert, werden Sie wissen wollen, ob es einen Weg gibt, sich zu verteidigen. Natürlich, ja, wie ich Ihnen bereits gesagt habe, sollten Sie Windows aktualisieren. Sie müssen sicherstellen, dass Sie den Microsoft MS17-010 Bulletin Patch oder das KB4012598 Update installiert haben, wenn Sie eine ältere Version haben. Um ähnliche Bedrohungen in Zukunft zu vermeiden, sollten Sie SMBv1 deaktivieren, wenn Sie es nicht verwenden. Um zu wissen, wie man es macht und um den Patch von der offiziellen Microsoft-Website herunterzuladen, verweise ich Sie auf die Anleitung, wo ich erkläre, wie man Windows für WannaCrypt patcht. Dort findest du alles.

Um sich gegen WannaCry Ransomware und Malware-Würmer im Allgemeinen zu schützen, müssen Sie außerdem eine gültige Anti-Ransomware installieren. Es gibt viele davon, sogar kostenlos. Zu den besten gehören Webroot, Kaspersky, Malwarebytes, Avast, Norton, Bitdefender und Avira. Vergessen Sie nicht auch Windows Defender, das von Microsoft umgehend aktualisiert wurde und das den betreffenden Virus nun als solchen erkennt. Lösegeld:Win32/WannaCrypt. Im Allgemeinen müssen Sie nur ihre Virendatenbanken auf dem neuesten Stand halten, um sicher zu bleiben.

Um Ihr Netzwerk vor WannaCry und ähnlichen Viren zu schützen, benötigen Sie vielleicht einen guten Router. Zu Hause können Sie ASUS-, Netgear- oder Linksys-Router kaufen und Firmware wie DD-WRT darauf installieren. Im Unternehmensumfeld könnte die Verwendung eines Cisco-Routers in Betracht gezogen werden. So könnten sie beispielsweise die SMB-Protokolle TCP 139 und TCP 445 Inbound-Ports zu allen externen Hosts aus dem Internet über eine Firewall blockieren.

Abschließend möchte ich Sie daran erinnern, dass es eine gute Idee ist, redundante Backups zu erstellen und diese an anderer Stelle, auch außerhalb des lokalen Netzwerks, zu speichern. Auf diese Weise schützen Sie Ihre Dateien vor solchen Bedrohungen.

Sie suchen nach weiteren Computeranleitungen? Vielleicht wärst du interessiert:

  • Wie man CryptXXX entfernt
  • Wie man TeslaCrypt entfernt
  • Wie man den Cryptolocker entschlüsselt