WannaCry Ransomware Virus

Seit Freitag geht ein neuer, unter dem Namen WannaCry bekanntgewordener, Verschlüsselungstrojaner um. Ausgehend von Russland und Großbritannien ist dieser mittlerweile weltweit im Umlauf.

WannaCry nutzt für die Verbreitung 2 Wege:

  • Per Anhang in E-Mails (nähere Details sind uns hierzu noch nicht bekannt)
  • Über eine Lücke in der Windows-Dateifreigabe über das Firmennetzwerk (per SMB)

Microsoft hatte die verantwortliche Sicherheitslücke bereits im März durch Sicherheits-Updates geschlossen. Diese Patches liefert der Hersteller jedoch nur für die aktiv unterstützten Windows-Versionen. Ältere Windows-Versionen (Windows XP und Windows Server 2003) blieben vorerst weiter ungeschützt Updates für diese Systeme wurden mittlerweile jedoch nachgereicht.

Wie kann ich mich davor schützen?

Nutzer sollten Windows-Sicherheitspatches grundsätzlich immer installieren. Wer Microsofts Sicherheitsupdate MS17-010 noch nicht eingespielt hat, muss das jetzt nachholen. Das gilt auch für Besitzer älterer, nicht mehr offiziell supporteter Windows-Versionen wie XP.

Der Virus verteilt sich über die Netzwerk-Ports 445, 139 und 3389. Idealerweise werden die Ports mit einer lokalen Firewall gesperrt, wenn diese nicht benötigt werden.

Die WatchGuard Proxy-Services sowie die IPS-Detection erkennen den Virus bereits. Anbei die aktuellen Infos zu der Bedrohung vom Hersteller:

For WatchGuard customers, both Gateway AntiVirus (signature: Ransom_r.CFY) and APT Blocker detect and block the ransomware payload. Malware authors are known to repack their variants regularly however, which could evade signature-based detection like Gateway AntiVirus. APT Blocker’s sandbox-based detection will continue to detect and block future variants. Additionally, IPS can detect and block exploitation of the MS17-010 vulnerability (signatures: 1133635, 1133636, 1133637, 1133638).