Threats & Co, Fachartikel

Technische Analyse der “WannaCry”-Ransomware

Technische Analyse der “WannaCry”-Ransomware

Zusammenfassung: Eine unter den Namen “WannaCry,” “WCry” oder “WanaCrypt0r” bekannte Ransomware hat sich bis Freitag, 12. Mai 2017, weltweit über mindestens 74 Länder hinweg verbreitet. Die Malware, die nach Zeichenketten im Programm selbst und in den von ihm verschlüsselten Dateien benannt wurde, verbreitete sich Berichten zufolge zunächst gezielt in Russland aus und erfasste dort unter anderem die Systeme von Telekommunikationsanbietern, Unternehmen im Versandhandel, von Autoherstellern, Universitäten und von Institutionen des Gesundheitswesens. Die Ransomware verschlüsselt Dateien der Anwender und verlangt – je nach Version – ein Lösegeld von entweder 300 oder 600 Dollar. Der Betrag soll in Form von Bitcoins an einen Empfänger gezahlt werden, dessen Adresse die Malware nach erfolgreicher Infektion und Verschlüsselungsattacke zusammen mit einer Entschlüsselungs-Anleitung am Bildschirm einblendet.

Die WannaCry-Ransomware setzt sich aus mehreren Komponenten zusammen. Der initiale „Dropper“ enthält den “Encrypter”, das Verschlüsselungsmodul, als eingebettete Ressource. Im Encrypter wiederum ist ein Entschlüsselungsprogramm (“Wana Decrypt0r 2.0”) enthalten und darüber hinaus ein Passwort-geschütztes ZIP-File mit dem Anonymizer „Tor“ sowie diversen Dateien, die Konfigurations-Informationen und Schlüssel für die Verschlüsselung umfassen.

 

Während LogRhythm diesen Report schreibt, ist noch nicht endgültig geklärt, wie die anfänglichen Infektionen abliefen. Es wurde spekuliert, dass eine kontaminierte PDF-Datei benutzt und in einer Phishing-Kampagne verbreitet wurde, aber Analysten konnten dies bisher nicht bestätigen. Das LogRhythm zugängliche Exemplar des PDFs zeigte keine entsprechende Funktion.

 

Analyse von WannaCry 

Researcher haben mehrere Versionen des WannaCry-“Droppers” identifiziert, die ähnliche Funktionen aufweisen, aber leicht voneinander abweichen. Die Dropper, Encrypter (Verschlüsselungmodul) und Decrypter (Entschlüsselungsmodul), die Gegenstand dieser Untersuchung sind, sind an den folgenden SHA256-Hash-Werten erkennbar:

 

Dropper 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c

 

Encrypter ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

 

Decrypter b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25

 

Die Malware-Autoren haben offenbar keine großen Mühen darauf verwendet, eine Analyse ihres Produkts zu erschweren, denn die untersuchten Versionen enthielten so gut wie keine Verschleierungs- oder Anti-Debugging-Mechanismen und auch keinen Code, der die Ausführung in VM-Umgebungen erkennt. Die Ransomware macht sich einen Expolit zunutze, den NSA-Analysten entwickelt haben und gegen den das Unternehmen Microsoft am 14. März 2017 ein Sicherheitsupdate verbreitet hat (MS17-010, Details, finden sich unter https://technet.microsoft.com/en-us/library/security/ms17-010.aspx . Es existieren allerdings noch immer viele nicht aktualisierte Systeme, die nach wie vor verwundbar sind. Die Anwendung des Patches wird die Verbreitung von WannyCry unterbinden, aber keine Infektionen verhindern.

<< Erste < Vorherige 1 2 3 4 Nächste > Letzte >>

Diesen Artikel empfehlen

IBM Resilient: neuen EU-Datenschutz leichter umsetzen

Der Countdown läuft: Am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung der Europäischen Union in Kraft (GDPR, General Data Protection Regulation). Sie wird Auswirkungen auf alle Organisationen haben, die Geschäfte in Europa machen oder mit personenbezogenen Daten von EU-Bürgern in Berührung...

"WannaCry": Weckruf und Warnung

Bei "WannaCry" handelt es sich offenkundig um Erpressungssoftware, die eine Sicherheitslücke in Microsofts Windows-Betriebssystem ausnutzt. Die US-Geheimdienstbehörde NSA hatte sie für eigene Spähangriffe genutzt und nicht an Microsoft gemeldet. Nun haben Hacker diese Sicherheitslücke,...

Antivirus ist und bleibt als Endpunktschutz nur die halbe Miete

Gibt es in den Regalen von Palo Alto Networks noch Next Generation Firewalls? Next Stop: "Next Generation Endpoint Security" Trotz erhöhter Investitionen in die Endpunktsicherheit greifen Kriminelle weiterhin Endpunkte von Unternehmen erfolgreich an. Hat Palo Alto eine vernünftige Lösung?...

WannaCry-Cyberattacke: Fünf Hinweise für Geschäftsführungen

Es gibt einen fehlgeleiteten Blick auf das Informationsrisiko. Es wird oft als technologisches Problem behandelt, dass von Informationssicherheit- und IT-Verantwortlichen gelöst werden muss. Sicherlich gibt es viele sehr talentierte Leute und Experten, die an vorderster Frontlinie der Cyber- und...

BSI legt Lagedossier zu Ransomware vor

Derzeit berichten Medien über Cyber-Sicherheitsvorfälle mit hoher Schadenswirkung, die durch die Ransomware "WannaCry" ausgelöst werden. Von den Angriffen sind Unternehmen und Institutionen weltweit und auch in Deutschland betroffen. Das Besondere an dieser Schadsoftware ist, dass sie...

Ransomware und Co: Deutschland als Gefahrenherd

Besonders bei Phishing, Webangriffen und Malware stammt die Quelle der Bedrohungen häufig aus Deutschland. So ist Deutschland die zweitgrößte Quelle für Phishing, die drittgrößte Quelle für Webattacken und der fünftgrößte Ausgangspunkt für Webattacken weltweit. Prozentual am häufigsten sind dabei...