Wanna Cry: Attacke vorerst gestoppt, Sonder-Patch für Windows

Der weltweite Ransomware-Angriff durch „Wanna Cry“ ist vorerst gestoppt. In der Nacht zum Samstag wurde die Angriffswelle gestoppt, weil ein IT-Sicherheitsforscher auf eine Art „Notausschalter“ in der Schadsoftware stieß. Die Angreifer scheinen diese „Notbremse“ in ihr Programm eingebaut zu haben. Der Betreiber des Blogs „MalwareTech“ fand nach eigenen Angaben einen Web-Domainnamen im Computercode der Schadsoftware und registrierte ihn. Das reichte aus, um die Ausbreitung zu stoppen. Damit ist die Gefahr aber keineswegs gebannt: Zugleich warnten Experten, dass die Angreifer mit einer modifizierten Version ihrer Software zurückkommen könnten. Deshalb müsse man die Ruhe jetzt dringend nutzen, um den Schutz der Computer auf den neuesten Stand zu bringen. 

Die Attacke betrifft alle Windows-Systeme, die nicht mehr auf dem neuesten Stand sind. Deshalb wird dringend empfohlen, alle Sicherheits-Patches zu installieren. Microsoft selber veröffentlichte sogar ein Sicherheits-Update für das komplett veraltete Windows XP, für das der Support eigentlich schon seit 2014 eingstellt ist, sowie für Windows Vista und andere alte Windows-Versionen. Den Sonder-Patch gibt es auf dieser Webseite.

 

In der Schweiz keine Grossausfälle

Die Schweiz ist von dem internationalen Cyber-Angriff nicht gross betroffen gewesen. Bei der Melde- und Analysestelle Informationssicherung (MELANI) gingen einzelne keine Schadensmeldungen ein.

Seine Behörde habe am Freitag gegen 16 Uhr die Betreiber der kritischen Infrastruktur über die mögliche Gefahr eines erpresserischen Cyber-Angriffs informiert, sagte MELANI-Leiter Pascal Lamia am Samstag auf Anfrage der Nachrichtenagentur sda. Zu den kontaktierten Stellen gehörten etwa Energieunternehmen, Banken oder Spitäler.

Bis Samstagmorgen seien keine Ausfälle gemeldet worden. Es sei aber möglich, dass einzelne Geräte betroffen seien. In Gefahr seien alle Geräte, wo keine Updates gemacht und Angriffs-Mails angeklickt wurden.

«Das kann sich aber auch schnell wieder ändern»

Dass die Schweiz von dem Angriff verschont wurde, könnte mit der fortgeschrittenen Sensibilisierung zusammenhängen, mutmasste Lamia. Es gebe Länder, wo weniger regelmässig über Gefahren informiert werde. Aber auch in der Schweiz könnte noch viel mehr getan werden.

Der Angriff von Freitag sei wahrscheinlich eher zufällig zustande gekommen. Laut Lamia seien britische Spitäler nicht gezielt angegriffen worden. Ziel eines solchen Angriffs sei es, möglichst viele Stellen zu infizieren und Geld zu erpressen.

Auch das Bundesamt für Polizei (Fedpol) weiss von keinen grossflächigen Störungen hierzulande: «Wir haben zum jetzigen Zeitpunkt keine Informationen, dass die Schweiz massiven Cyber-Attacken ausgesetzt wäre», sagt Fedpol-Sprecherin Catherine Maret auf Anfrage von BLICK. «Das kann sich aber auch schnell wieder ändern.»

Auch Credit Suisse und UBS können aufatmen: Sie teilen auf Anfrage mit, sie seien weltweit nicht betroffen.

 

Wie konnte das passieren?

Windows-Betreiber Microsoft hat bereits am 14. März ein Sicherheits-Update veröffentlicht, welches ihr System vor diesem Virus schützt. Das Problem: Viele der vom aktuellen Cyber-Angriff betroffenen Unternehmen und Organisationen haben dieses bis heute nicht installiert.

Oder aber sie haben ein veraltetes System, für das Windows keine Updates mehr entwickelt – wie etwa Windows XP. In der Nacht auf Samstag machte Microsoft eine Ausnahme und veröffentlichte Sicherheits-Patches auch für alte Systeme.

Ist der Spuk jetzt vorbei?

Jein. Es sieht zwar so aus, als ob die aktuelle Welle des Virus zum erliegen gekommen ist. Zu verdanken haben wir das einem Computer-Experten, der sich auf Twitter @MalwareTechBlog nennt.

Als der 22-Jährige Brite, der anonym bleiben will, das Virus untersuchte, stiess er auf einen Domain-Namen, bestehend aus einer langen, sinnlosen Buchstabenkette. Er sah, dass die Domain noch frei war und kaufte sie für rund 11 Franken.

Kurz nach der Aktivierung der URL verbreitete sich der Trojaner nicht weiter. Es stellt sich heraus, dass @MalwareTechBlog zufällig den «Notschalter» aktiviert und die Schadsoftware gestoppt hat. Offenbar hatten die Angreifer vergessen, die Domain zu registrieren.

Im Guardian warnt der Retter: «Es ist nicht vorbei. Die Angreifer werden herausfinden, wie wir den Trojaner gestoppt haben. Dann werden sie den Code ändern und erneut angreifen.» (rey)

 

Quelle: Computerbild.de, Blick.ch