Seit Freitag hält ein massiver Cyberangriff die Welt in Atem. Hunderttausende Computer in zahlreichen Ländern wurden durch einen Erpressungsvirus in Geiselhaft genommen. Diese Art von Schädling ist an sich nicht neu, doch die Malware verteilt sich wie ein Wurm. Es ist die erste Kombination dieser beiden Angriffsmethoden, was Wanna Cry besonders gefährlich macht. Die noch unbekannten Kriminellen dahinter fordern die Zahlung eines Lösegeldes, damit die verschlüsselten Daten auf den Rechnern wieder freigegeben werden. Das Eingreifen eines Hackers konnte die Attacke kurzfristig stoppen. Doch mit Beginn der neuen Arbeitswoche gehen Experten von einer neuen Angriffswelle aus. Nutzer mit anfälligen Systemen, die es bislang noch nicht erwischt hat, sollten ihre Computer nun unbedingt schützen.

Betroffene Systeme

Wanna Cry nutzt einen Fehler in der Fileserver-Implementation von Windows aus. Microsoft hat die Schwachstelle bereits im März mit dem Update MS17-010 behoben. Gefährdet sind also Systeme, die als Fileserver (SMB) genutzt werden, auf denen der Patch noch nicht eingespielt wurde, sowie Computer mit Windows-Versionen, die zunächst nicht mehr aktiv unterstützt wurden. Dazu gehören Windows XP und Windows Server 2003.

Nutzer und IT-Verantwortliche, deren Computer noch nicht infiziert wurden aber potenziell gefährdet sind, können nun mehrere Maßnahmen treffen, schreibt das österreichische Cert. Wer das Update noch nicht eingespielt hat, sollte das unbedingt so rasch wie möglich nachholen. Für ältere, eigentlich offiziell nicht mehr unterstützte Systeme, hat Microsoft am Wochenende ebenfalls einen Notfalls-Patch veröffentlicht. Weitere Informationen finden sich im Support-Artikel von Microsoft.

Sofern man einen Computer im Einsatz hat, der nicht mehr mit MS17-010 bespielt werden kann und dennoch weiterhin verwendet werden muss, sollte man diesen von einem internen Netzwerk isolieren. Damit wird verhindert, dass sich der Schädling im Fall einer Infektion auf weitere PCs im Netzwerk verbreitet.

Backups anfertigen, Einfallstore ausschalten

Die beste Strategie gegen Verschlüsselungsviren ist (neben stets aktuell gehaltenen Systemen) das regelmäßige Durchführen von Backups, die auf einem getrennt aufbewahrten externen Datenträger angefertigt werden. Dann können verschlüsselte Daten auf einem betroffenen Computer wiederhergestellt werden. Wer bislang keine Backups anfertigt, sollte die weltweite Wanna Cry-Infektion nun zum Anlass nehmen, damit anzufangen.

Nutzer sollten daher ihr System auf mögliche Einfallstore für Viren überprüfen. Aus eingehenden E-Mails sollten aktive Inhalte wie Macros oder Scripte ausgefiltert werden. Helfen kann auch die Einschränkung der Programmausführung aus Temp-Verzeichnissen.

Das Cert rät auch die ältere Version des Filesharing-Protokolls SMBv1 zu deaktivieren und SMB-Server nicht von außen zugänglich zu machen. Die Firewall sollte so eingestellt sein, dass Anfragen auf Port 445 blockiert werden.

Das spanische Cert hat ein Tool entwickelt, das vor der Infektion vor Wanna Cry schützt. Die Experten warnen allerdings, dass solche Tools jeweils nur für die aktuelle Version des Schädlings helfen könnten. Für die Entwickler von Wanna Cry sei es einfach, derartige Maßnahmen auszuhebeln.

Nicht bezahlen

Tipps gegen Erpressungsmalware erhalten betroffene Nutzer auch auf der Seite Nomoreransom.org, die von IT-Security-Unternehmen in Zusammenarbeit mit Strafverfolgungsbehörden betrieben wird. Ein Entschlüsselungstool für bereits von Wanna Cry infizierte Rechner gibt es bislang nicht. Betroffene Nutzer sollten dennoch die geforderte Summe nicht bezahlen. Erstens wird damit nicht sichergestellt, dass die Dateien tatsächlich wieder freigegeben werden, zweitens wird dadurch das "Geschäftsmodell" Erpressungsvirus unterstützt. (br, 15.5.2017)