Threat Database Ransomware WannaCryptor oder die Ransomware WanaCrypt0r

WannaCryptor oder die Ransomware WanaCrypt0r

Wertungsliste der Bedrohung

Bedrohungsstufe: 100 % (Hoch)
Infizierte Computer: 1
Zum ersten Mal gesehen: March 29, 2017
Zuletzt gesehen: November 15, 2019
Betroffene Betriebssysteme: Windows

Die Ransomware WanaCrypt0r ist ein Verschlüsselungstrojaner, das eine wurmähnliche Angriffstaktik aufweist. Die Ransomware WanaCrypt0r ist als eine der meist gefährlichen und verbreiteten Verschlüsselungstrojaner bis 12.Mai 2017 erkannt. Sie hat geschafft mehr als Hunderttausende Systeme durch 140 Länder bei seiner ersten Veröffentlichung in der wahren Welt beschädigt. Der Hauptstoß des Angriffs war bei PC-Benutzern in Russland und das nationale Gesundheitssystem in Großbritanien ergriffen. Der Trojaner hat geschafft, den Zugriff auf die meisten Computer, die zum nationalen Gesundheitssystem verbunden sind, zu blockieren und fast 70% der Fällen, die die Ransomware WanaCrypt0r einbeziehen, sind in Russland aufgezeichnet. Die Ransomware WanaCrypt0r ist ein unabhängiger Ransomware-Trojaner, der geschafft hat, schutzlose Maschinen zu infizieren, die Windows XP und Windows Server 2003 ausführen. Die Länder, die die meisten Schäden erlitten haben, sind Russische Föderation, Ukraine, Indien, Großbritanien und Taiwan.

Wer steht hinter dem Angriff mit der Ransomware WanaCrypt0r?

Die Programmierer von Malware hinter der Ransomware WanaCrypt0r halten sich schadlos an der Anfälligkeit, was vom US-Geheimdienst entdeckt und von einer Gruppe von Hackern bekannt als "Die Schattenhändler" zum Verkauf veröffentlicht wurde. Das Team wollte ein Instrumentarium verkaufen, das vom US-Geheimdienst missbraucht war, aber niemand wollte ihre "Produkte" kaufen und die Gruppe hat alle verfügbaren Ressourcen im Internet hochgeladen. Offensichtlich haben die Hersteller von WanaCrypt0r eine Anfälligkeit mit dem Kode CVE-2017-0145 a.k.a. "EternalBlue" gefunden, der erlaubt einem Programmierer, ein Datenpaket, das speziell zum SMB-Server gestaltet ist, zu senden und einen fehlerhaften Kode auf der Empfängerseite auszuführen. Die Angriffer haben geschafft, den Backdoor-Trojaner 'DoublePulsar' zu installieren, der ihnen erlaubt, die Ransomware WanaCrypt0r in der beeinträchtigten Maschine und in anderen Computern, die mit ihr verbunden sind, einzuführen.

Ist die Ransomware WanaCrypt0r eine anhaltende Bedrohung?

Experten der PC-Sicherheit haben berichtet, dass die Programmierer der Ransomware WanaCrypt0r drei Versionen nacheinander herausgegeben haben. Die meisten Verschlüsselungstrojaner werden in derselben Woche, wenn Sie herausgegeben wurden, nicht aktualisiert, aber WanaCrypt0r beweist, dass ein bestimmtes Team von Hackern Aktualisierungen und Patches relativ schnell verteilen kann. Wir haben bemerkt, dass der Trojaner die Namen WannaCry, WanaCrypt0r, WCrypt und WCRY verwendet. Die Ransomware WanaCrypt0r benimmt sich wie die berüchtigte Ransomware Cerber 6 und durchsucht die Einheiten in der lokalen Datenspeicherung für verfügbare Dateien. Die Ransomware WanaCrypt0r setzt fort, sich mit dem Server "Command and Control" zu verbinden, um das Eindringen zu berichten und eine Gruppe von privatem Kodierungsschlüssel und öffentlichem Entzifferungsschlüssel herunterzuladen. Die Bedrohung ist entworfen, eine personalisierte Chiffre AES-256 zu verwenden, um Text, Bilder, Audio, Video, Präsentationen, Tabellen und Datenregister, die auf dem gefährdeten Gerät gespeichert sind, zu beschädigen. Verschlüsselte Objekte können die folgenden Erweiterungen aufweisen:

  • .WNCRY
  • .WNCRYT
  • .WRCY

Beispielsweise "Der Einfluss der Straßenbeleuchtung auf die Motten und die Störung des nachtaktiven Transports von Blütenpollen.pptx" kann in "Der Einfluss der Straßenbeleuchtung auf die Motten und die Störung des nachtaktiven Transports von Blütenpollen.pptx.WNCRYPT" umbenannt werden. Die Verschlüsselung kann ein paar Stunden auf den Computern dauern, die für Datenspeicherung verwendet werden und dank ihres Verteilungsmechanismus kann die Ransomware WanaCrypt0r auch die Backups beschädigen. Sie sollen beachten, dass die Ransomware WanaCrypt0r die Prozesse der Datenbank-Managers wie MySQL, Microsoft Exchange Server und OracleDB beenden kann. Die Lösegeldforderung ist in drei Formen dargelegt - eine TXT-Datei namens "@Please_Read_Me@.txt", ein Bildschirmhintergrund namens "@WanaDecryptor@.bmp" und ein Programmfenster namens "Wana Decrypt0r 2.0". Der Bildschirmhintergrund bietet eine kurze Erklärung dafür, warum Sie Daten auf dem Gerät nicht laden können und lautet:

'Ooops, Ihre wichtigen Dateien sind verschlüsselt.
Falls Sie diesen Text sehen, aber das Fenster "Wana DecryptOr" nicht, dann hat Ihr Antivirenprogramm die Dekodierungssoftware entfernt oder Sie haben die von Ihrem Computer gelöscht.
Falls Sie Ihre Dateien brauchen, müssen Sie die Dekodierungssoftware ausführen.
Bitte finden Sie eine Anwendungsdatei namens "@WanaDecryptor@.exe" in einem Ordner oder stellen Sie die von der Antivirus-Quarantäne wieder her.
Führen Sie die Anweisungen aus und folgen Sie ihnen!

Sie haben vielleicht eine Möglichkeit die Bezahlung zu vermeiden

Das Programmfenster 'Wana Decrypt0r 2.0' bietet einen Countdown-Zeitmesser und drängt die Benutzer 300 USD durch die digitale Währung Bitcoin zu bezahlen, um den richtigen Entschlüsselungskode zu erlangen und den Verschlüsselungsverfahren zu beginnen. Zum Zeitpunkt der Abfassung dieses Berichts werden ein bisschen mehr als 1000 Bezahlungen an die Adresse der Geldtasche gemacht, die mit der Ransomware WanaCrypt0r assoziiert wird. Angesichts des Umfangs vom Angriff können die Benutzer, die bezahlen möchten, da die Ransomware WanaCrypt0r auch ihre Backups gelöscht hat, mehr sein. Die Bedrohung kann aber Dateien, die auf unerforschten Speichergeräten gespeichert sind, nicht beschädigen und löschen, und Sie sollen in der Lage sein, Offsite-Backups zu verwenden, um Ihre Datenstruktur wiederherzustellen. Die Experten empfehlen den ständigen PC-Benutzern und Unternehmen, für maximalen Schutz gegen moderne Verschlüsselungstrojaner in einen offline und Cloud-basierten Backup-Speicher zu investieren. Sie sollen berücksichtigen, dass über die Ransomware WanaCrypt0r einen Bericht erstattet ist, dass sie auf 166 Dateitypen abzielt, einschließlich:

.123, .3dm, .3ds, .3g2, .3gp, .602, .accdb, .aes, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .csr, .csv, .dbf, .dch,.der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip.

Im Trend

Am häufigsten gesehen

Wird geladen...