Informationen und Massnahmen zur Ransomware «WannaCrypt»

Die Ransomware «WannaCrypt» hat seit dem 12. Mai 2017 bereits 200’000 Rechner infiziert, darunter auch einige Schweizer KMU und Privatpersonen. Folgendes Security Advisory gibt Auskunft über die Situation und die erforderlichen Massnahmen.

Selbständige Verbreitung im Netzwerk

Die Ransomware geht nach dem gewohnten Muster vor: Sie verschlüsselt Daten der Opfer und versucht für die Entschlüsselung Lösegeld zu erpressen. Die Ransomware scheint äussert infektiös zu sein. Offenbar hat Sie sich innert weniger Stunden/Tagen von England aus in über 150 Länder verbreitet. Betroffene Rechner erhalten ein Mail einer bekannten Adresse. Der Ausbruch und die Verbreitung im Netzwerk erfolgt, nachdem man auf einen infizierten Link in der Nachricht klickt.

• www.heise.de – Angriff mit Ransomware legt weltweit Zehntausende Rechner lahm
• www.troyhunt.com – Everything you need to know about the WannaCry / Wcry / WannaCrypt ransomware

Die Malware nutzt eine, im Februar aufgetauchte, höchstkritische Sicherheitslücke in nahezu allen Windows-Versionen. Es handelt sich dabei um eine Schwachstelle in der SMB-Implementierung (Protokoll, dass Netzwerkfreigaben zur Verfügung stellt). Diese ermöglicht der Malware durch einen Speicherüberlauf das Infizieren des Opfers sowie das Verbreiten im (Unternehmens-) Netzwerk. Folglich bedeutet dies, dass sich die Malware selbstständig im Netzwerk verbreiten kann, sofern sich angreifbare Computer darin befinden.

• www.heise.de – Zero Day Lücke in SMB Bibliothek von Windows

Microsoft hat seit März über das Advisory MS17-010 einen Patch bereitgestellt, ausnahmsweise sogar für Betriebssysteme ausserhalb des Support-Lifecycles (XP, 2003).

• Microsoft Security Bulletin
• Microsoft Customer Guidance for WannaCrypt attacks

Folgende Massnahmen sollten Sie ergreifen

• Sofern regelmässig alle Patches (insbesondere März-Patchlauf) auf den (Unternehmens-) Computern installiert werden besteht kein technischer Handlungsbedarf
• Falls nicht:
  • Umgehende Installation des Patches 4013389 auf Clients und Server (auch resp. insb. XP und 2003); per SCCM, WSUS oder händisch
  • Aktivieren der Windows Firewall auf Clients und/oder Eingrenzen der Verbindung auf Port 445 (keine Verbreitung mehr möglich) falls möglich
• Interne Kommunikation an alle Mitarbeiten insbesondere in den nächsten 4 Wochen misstrauisch gegenüber fragwürdigen/unpersönlichen Mails, Socialmedia-Inhalten etc. zu sein und keine solcher Inhalte zu öffnen/teilen.
  • Mails, welche vermeintlich von DHL, Post, Swisscom etc. stammen
  • Socialmedia-Inhalte die viral gehen und übermässig geteilt werden

Für Rückfragen und Hilfestellungen steht Ihnen unser Servicedesk (servicedesk@leuchterag.ch, +41 41 226 50 47) gerne zur Verfügung.