Ransomware – Vorsorge und Schadensbegrenzung am Beispiel von WannaCrypt

In diesem Blogeintrag wird die Vorsorge, Erkennung und Wiederherstellung der Daten nach einem Ransomware Angriff besprochen. Im letzten Teil wird auf aktuelle Fragen bzgl. der WannaCrypt Infektion eingegangen.

Unter Ransomware versteht man Schadprogramme, die Daten auf fremden Rechnern verschlüsseln, bzw. den Zugriff darauf verhindern und für die Freigabe, bzw. Entschlüsselung ein Lösegeld verlangen.

Mit solcher Schadsoftware kann prinzipiell jedes Gerät, von Mobilgeräten, Notebooks, Arbeitsplatzrechner, bis hin zu Domänencontroller infiziert werden. Es ist daher sinnvoll sich schon vor einer möglichen Attacke Strategien für den Ernstfall zu überlegen.

Vorsorge


Um die eigene Umgebung und Nutzer vor einem Angriff zu schützen, muss einem zunächst klar sein, was die häufigsten Angriffsarten sind. Ransomware nutzt Schwachstellen im Betriebssystem, bzw. Fehler in Anwendungssoftware. Häufig geschieht eine Infektion durch
  • Das Besuchen nicht sicherer und dubiosen Webseiten
  • Dem Öffnen von Dateien aus nicht sicherer Quelle. Dies betrifft insbesondere E-Mailanhänge mit Office Dateien, die Makros unterstützen (.doc, .xls, .docm, .xlsm, .pptm, etc.), sowie ausführbare Dateien (unter anderem mit der Dateiendung: .ade, .adp, .ani, .bas, .bat, .chm, .cmd, .com, .cpl, .crt, .hlp, .ht, .hta, .inf, .ins, .isp, .job, .js, .jse, .lnk, .mda, .mdb, .mde, .mdz, .msc, .msi, .msp, .mst, .pcd, .reg, .scr, .sct, .shs, .url, .vb, .vbe, .vbs, .wsc, .wsf, .wsh, .exe, .pif, etc.)
  • Installation von gefälschten Softwarepaketen, bspw. durch Produktpiraterie
  • Installation veralteter Software oder Betriebssysteme
  • Ein bereits infiziertes Netzwerk
Da die größte Sicherheitslücke nach wie vor die Person vor dem PC ist, müssen die Nutzer für die oben genannten Risiken sensibilisiert werden.

Ganz allgemein sollte man folgende Punkte beachten:
  • Das Betriebssystem, die Antivirensoftware, sowie Anwendungssoftware sollte immer auf dem aktuellen Updatestand sein
  • Durchführen einer regelmäßigen Sicherung der Daten
  • Unter Windows 10 und Windows 8.1 kann der Dateiversionsverlauf [1] eingerichtet werden
  • Vorsichtiger Umgang mit Mails von unbekannten Absendern
  • Deaktivierung von Makros in Office Produkten
  • Wenn möglich Zwei-Faktor-Authentifizierung verwenden
  • Das Besuchen nicht sicherer Webseiten vermeiden, bzw. diese Seiten sperren. Hierzu gehören insbesondere Seiten, die illegale Downloads und Pornographie anbieten

Erkennung


Eine frühzeitige Erkennung kann die Verbreitung, bzw. Infektion eindämmen. Es sollte daher immer eine Antiviren Software wie beispielsweise Windows Defender verwendet werden. Diese muss regelmäßig, am besten automatisch, mit Updates versorgt werden.

Wiederherstellung


Die Wiederherstellung der verschlüsselten Daten funktioniert im Allgemeinen nur, wenn man ein BackUp der Dateien hat, oder über den Dateiversionsverlauf [1] von Windows bzw. OneDrive auf ältere Versionen der Datei zugreifen kann. Unter Umständen hat die Ransomware jedoch auch die Dateien des Dateiversionsverlaufes verschlüsselt. In diesem Fall können die Dateien nur von einem externen BackUp, oder einer serverseitigen Wiederherstellung in OneDrive wiederhergestellt werden.

Es ist daher in jedem Fall sinnvoll sich eine geeignete BackUp-Strategie zu überlegen, und diese auch zu testen, um im Notfall die Daten auch wiederherstellen zu können.

Meistens werden kurz nach Bekanntwerden der Attacken Updates des Betriebssystems und der Virendefinitionen bereitgestellt, die installiert werden müssen, um die Ransomware zu entfernen. In einzelnen Fällen erscheinen auch dedizierte FixIt Lösungen, welche die Ransomware entfernen.

Für die aktuell kursierende Ransomware WannaCrypt gibt es beispielsweise zwei Tools (WannaKiwi [4] und WannaKey [5]), mit denen unter bestimmten Umständen die Verschlüsselung rückgängig gemacht werden kann. Hierbei darf der Rechner nach der Infizierung allerdings nicht neugestartet werden.

WannaCrypt


Seit geraumer Zeit ist bekannt, dass das Teilen von Server Message Block Ordnern (SMB-Share) eine Sicherheitslücke in der SMBv1 Implementierung aufweist. Dem entgegen hat Microsoft im März ein Sicherheitsupdate ausgefahren, welches Systeme (u. A. Windows 10, Windows Server 2016) vor der Ausnutzung dieser Schwäche schützt. Leider waren ältere Systeme wie Windows XP und Windows Server 2003 nicht von diesem Update betroffen, da die Support-Laufzeit dieser Systeme bereits abgelaufen war.

Nach dem kürzlich erfolgten Angriff bleiben noch einige Fragen offen, welche in einem offiziellen Microsoft Meeting Broadcast geklärt wurden und auf die hier kurz eingegangen wird.

Welches Update schließt die Lücke?
Die Sicherheitslücke wurde mit dem Security-Update MS17-010 geschlossen.

Kann man MS17-010 separat installieren?
Nein, das Sicherheitsupdate ist Teil des großen März-Updates und kann aus diesem Grund nur im Gesamtheit installiert werden.

Wird es ein ähnliches Update für Windows 2000 & NT 4 geben?
Nein, so ein Update ist nicht geplant. Administratoren und Benutzern von Windows Server 2000 und älteren Systemen wird dringend geraten, auf neuere Versionen umzusteigen. Damit sollen Gefahren durch Angriffe verhindert werden, da diese Systeme mit neuen Patches und Sicherheitsupdates versorgt werden.

Gibt es ein Sicherheitsupdate für Windows XP und Windows 7 Embedded?
Sowohl für Windows XP, als auch für Windows 8, Windows Vista, Windows Server 2003 und Windows Server 2008 lassen sich Sicherheitsupdates im Microsoft Update Katalog finden. Unter [2] gibt es eine Liste der Sicherheitsupdates.
Für Windows 7 Embedded gibt es den KB4012212 unter [3].



Abbildung 1: Auflistung der spezifischen Updates bzgl. OS-Version, welche die Sicherheitslücke schließen

Wieso ist der Microsoft Update Katalog Download sehr langsam?
Dies war in den ersten Tagen nach der Ausbreitung des Trojaner ein Problem, da die Bandbreite nicht erhöhen konnte, aber die Nachfrage nach den Sicherheitsupdates sehr groß war. Mittlerweile sollte sich der Traffic aber einigermaßen normalisiert haben.

Ist Windows Mobile von diesem Angriff betroffen?
Nein, Windows Phones werden nicht von dem Trojaner befallen, da die Sicherheitslücke hier nicht besteht.

Gibt es Probleme mit Office 365 / Microsoft Azure?
Office 365 Anwendungen sowie Azure-Server werden stets auf dem aktuellen Patch-Level gehalten. Aus diesem Grund sind vor allem auch die Microsoft Server in der Cloud mit dem März-Update aktuell.
Generell werden die Maschinen, welche Microsoft als Platform as a Service anbietet, stets auf dem aktuellsten Stand gehalten. Kunden von Maschinen (Infrastructure as a Service), welche selbst für den Updatestand ihrer virtuellen Maschinen verantwortlich sind, sind nicht vor dem Trojaner sicher, sollten Sie das März-Update noch nicht installiert haben.

Kann die Verschlüsselung rückgängig gemacht werden?
Für die aktuell kursierende WannaCrypt Version gibt es beispielsweise die zwei Tools WannaKiwi [4] und WannaKey [5], mit denen unter bestimmten Umständen die Verschlüsselung rückgängig gemacht werden kann. Hierbei darf der Rechner nach der Infizierung allerdings nicht neugestartet werden.

Generell wird Benutzern von Microsoft Betriebssystemen geraten, zumindest das März-Update zu installieren, um vor dem eigenständigen Befall von der WannaCry-Ransomware sicher zu sein. Sicher bedeutet hier allerdings nicht, dass man sich den Trojaner überhaupt nicht mehr einfangen kann. Lediglich das Einfallstor über SMBv1 wurde geschlossen. Sie müssen deshalb auch weiterhin darauf achten auf dem aktuellsten Update- bzw. Sicherheitsstand zu sein und am besten die in diesem Blogeintrag genannten Ratschläge beherzigen.

[1] https://support.microsoft.com/de-de/help/17128/windows-8-file-history
[2] http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
[3] http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
[4] https://github.com/gentilkiwi/wanakiwi/releases
[5] https://github.com/aguinet/wannakey