Top

Beschreibung:

WannaCry, auch bekannt als WannaCrypt, WanaCrypt0r 2.0, Wanna Decryptor, hat sich in mehr als 150 Ländern verbreitet mit einem nie dagewesenen Angriff, der am 12. Mai 2017 gestartet wurde.

Kürzlich hat die Hackergruppe Shadow Brokers ein Hacking-Tool und Schwachstellen der US Geheimdienste geknackt, eines davon war der Eternal Blue Exploit, welcher auf einem SMB Exploit basiert, um sich in andere verbundene PCs in einem Netzwerk zu hacken. Bislang hat die Ransomware mehr als 200.000 Computer weltweit betroffen.

Wie kann sie bei Ihnen einschlagen:


WannaCry Ransomware zielt weltweit auf Organisationen und Einzelanwender, quer durch Gesundheitssektor, Finanzwesen, Hersteller und Regierungsorganisationen. Hierdurch wurde der Geschäftsablauf durch den plötzlichen Verlust wichtiger Daten gestört. Es wird auch vermutet, dass der Angriff auch ausgeführt wurde, um Bankinformationen zu erhalten, von Leuten die das Lösegeld in Bitcoins bezahlt haben. Diese Ransomware hat auch zu einem Vertrauensverlust der Kunden geführt. Die Zahlung von $300 für den Entschlüsselungscode der Angreifer war keine Absicherung, den Code zu erhalten. Auch wurde berichtet, dass die Angreifer den Zahlbetrag verdoppelt haben, wenn die Zahlung nicht innerhalb von 48 Stunden einging und dass nach sieben Tagen die Dateien komplett gelöscht werden sollen.

WannaCry Ransomware verwendet eine Schwachstelle des Windows Betriebssystems die von der NSA früher bereits entdeckt wurde und Microsoft hat hierfür bereits am 14 März einen Patch veröffentlicht mit dem Hinweis, die Systeme auf den aktuellen Stand zu bringen.

Indien sowohl mit den meisten Computersystemen als auch mit großer Anzahl illegal gehackter Software ist eins der best angreifbaren Länder in Bezug auf WannaCry. Darum sollten die Anwender größte Vorsicht walten lassen, die Schwachstellen der Systeme sofort finden und Updates patchen, um vor möglichen Exploits geschützt zu sein. Laut der Zulassung der indischen Regierung laufen 70% der indischen Geldautomaten noch mit Windows XP, darum hat das RBI eine Verordnung erlassen, alle Geldautomaten zu patchen, bevor diese wieder in Betrieb genommen werden dürfen.

Wie schützt eScan vor Ransomware-Angriffen:

eScans proaktive Verhaltensanalyse-Engine (PBAE) überwacht alle Prozesse auf der lokalen Maschine und wenn jegliche Aktivität oder jegliches Verhalten feststellt, welche zu Ransomware passen, wird der Prozess blockiert. Wenn ein infiziertes System versucht auf eine Netzlaufwerkfreigabe eines geschützten Systems zuzugreifen und Dateien auf dem System verschlüsseln/modifizieren will, unterbricht PBAE sofort die Netzwerkverbindung.

Neben WannaCry blockiert PBAE auch erfolgreich Ransomware-Angriffe von Locky, Zepto, Crysis und vielen weiteren. Zusätzlich, durch die Analyse von in unserer Cloud (ESN) gesammelten Daten, sind wir in der Lage tausende Ransomware-Angriffe weltweit auf Systemen, die mit eScan geschützt sind, erfolgreich zu entdecken und abzuwehren.

eScans aktive Virus Kontrolle (AVC) schützt auch proaktiv in Echtzeit das System vor Infektionen. Nicht nur PBAE sondern auch AVC identifiziert und blockiert die Ausführung von Schadsoftware / Trojanern einschließlich Ransomware aller Arten und Varianten.

Statistiken


Wie die Telemetriedaten vom Cloudserver der eScan Entwicklungsabteilung zeigen, hat sich die WannaCry Infektion am 14. Mai 2017 nach einer Spitze beim Ausbruch am 12. Mai abgesenkt. Dieses ist durch das Wochenende und die weltweit verbreiteten Warnungen bedingt, aber die Erkennung der Infektionsversuche durch WannaCry steigt.

Da der Mensch das schwächste Glied im gesamten System der IT-Sicherheit ist, denken wir, auch wenn bereits Ratgeber herausgegeben wurden und jeder von dem WannaCry Angriff gehört hat, dass ein Rundschreiben an alle Angestellten herausgegeben werden sollte, in dem sie darauf hingewiesen werden, nicht auf Emailanhänge von unbekannter Quelle zu klicken oder diese zu öffnen. Die Sicherheitsadministratoren sollten den von Microsoft herausgegebenen Patch auf allen Windows Systemen im Netzwerk installieren.

Die Bedrohung kann über diesen Link angezeigt werden: https://www.escanav.com/en/threat-report/

WannaCry Dateierweiterungen

WannaCry ändert nach dem Verschlüsseln der Dateien die Erweiterung in eine der Folgenden:

  • · WNCYR
  • · WCRY
  • · WCRYT
  • · WNCRY
  • · WNCRYT
  • · WNRY

Schutzmaßnahmen:

  • Den Patch MS17-010 von diesem Link herunterladen und installieren:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx


  • Administratoren sollten alle ausführbaren Dateien bei der Emailübertragung blockieren.

  • Administratoren sollten infizierte Systeme vom Netzwerk isolieren.

  • Administratoren können verschlüsselte Dateien vom Backup zurückladen oder das angegriffene System zurücksetzen (falls aktiviert).

  • Installieren und konfigurieren Sie eScan mit allen Sicherheitsmodulen aktiviert.
  • 1) eScan Echtzeitmonitoring
    2) eScan Proaktiver Schutz
    3) eScan Firewall IDS/IPS Einbruchsschutz

  • Benutzer sollten keine Macros in Dokumenten einschalten.

  • Organisationen sollten eine Sicherungslösung verteilen und unterhalten.

  • Am Wichtigsten: Organisationen sollten MailScan auf der Gateway-Stufe des Mailservers einsetzen zur Abwehr von verdächtigen Anhängen.