Was ist WannaCry-Ransomware?

WannaCry ist eine Ransomware, die eine Reihe von Computernetzwerken infizieren und sich schnell über diese verbreiten kann.

WannaCry besteht aus mehreren Komponenten und dringt in Form eines sogenannten Dopplers in den Zielcomputer ein. Hierbei handelt es sich um ein eigenständiges Programm, das die anderen in der Ransomware eingebetteten Anwendungskomponenten extrahiert. Zu diesen Komponenten gehören eine Anwendung, die Daten verschlüsselt und entschlüsselt, Dateien mit Verschlüsselungsschlüsseln und eine Kopie von TOR.

Der Programmcode ist nicht verschleiert und für Sicherheitsexperten relativ einfach zu analysieren. Nach dem Start versucht die Ransomware, auf eine hartcodierte URL zuzugreifen, die als Kill-Switch bezeichnet wird. Wenn dies nicht möglich ist, sucht sie nach Dateien in bestimmten Formaten und verschlüsselt diese, beispielsweise Microsoft Office-Dateien oder MP3-Dateien. Durch diese Verschlüsselung sind die Dateien für den Benutzer des Computers unzugänglich. Die Ransomware zeigt dann eine Lösegeldforderung an und verlangt einen bestimmten Währungsbetrag, meist Bitcoin (BTC), um die Dateien zu entschlüsseln und so wiederherzustellen.

Bei Windows betrifft die Schwachstelle, die WannaCry ausnutzt, die Windows-Implementierung des Server Message Block (SMB)-Protokolls. Das SMB-Protokoll ermöglicht die Kommunikation verschiedener Knoten in einem Netzwerk, und die Implementierung von Microsoft kann durch speziell gestaltete Pakete dazu verleitet werden, beliebigen Code auszuführen.

WannaCry kann als Paradebeispiel dafür angesehen werden, wie Krypto-Ransomware aussehen kann und wie sie zur Gelderpressung eingesetzt werden kann. Dies geschieht durch die Verschlüsselung potenziell wertvoller Dateien und kann einen Benutzer sogar vollständig von seinem Computer ausschließen. Jede Ransomware, die Verschlüsselung verwendet, wird Krypto-Ransomware genannt. Der Typ, der Benutzer gezielt vom Computer aussperrt, wird als Locker-Ransomware bezeichnet.