Ransomware: WannaCry wütet weltweit – macht erstaunlich wenig Profit, MariaDB erhält millionenschwere Finanzspritze

14 Mai 2017 Kein Kommentar Autor: Jürgen (jdo)
  • Ransomware WannaCry oder WannaCrypt schlägt weltweit zu – macht aber weniger Geld als man erwarten könnte – Killswitch gefunden oder Verbreitung aus Versehen gestoppt
  • MariaDB bekommt von der EIB 25 Millionen Euro
  • Video-Editor OpenShot 2.3.2 ist da
  • Atom ist als Snap verfügbar
  • ONLYOFFICE 9.0.0 mit DocuSign und Twilio
  • Paket-Aktualisierungen: Gimp 2.8.22, VLC 2.2.5.1 und kdenlive 17.04.1
  • Kodi 18 streicht Unterstützung für Windows Vista

Ransomware WannaCry in etlichen Ländern – macht aber gar nicht so viel Umsatz

Firmen, Institutionen und so weiter werden derzeit von der Ransomware WannaCry (einige nennen sie auch WannaCrypt) heimgesucht. Die Meldungen dazu sind etwas undurchsichtig – vor allen Dingen, wie viele Länder davon betroffen sind. um die hundert sich sicher und die Malware verteilt sich von selbst. Der Anwender muss also nichts weiter tun und WannaCry versucht, sich eigenständig im Netzwerk zu verbreiten. Zu den angegriffenen Firmen gehören auch Telekommunikationsunternehmen und Institutionen im Gesundheitswesen.

WannaCry ist eine ganz klassische Ransomware. Sobald ein Rechner infiziert ist, verschlüsselt die Malware Dateien mit der Erweiterung .WCRY. Danach wird ein Lösegeld verlangt. Während Ransomware oft Unsummen an Lösegeld verlangt, ist WannaCry mit einem Bitcoin-Betrag von umgerechnet 300 US-Dollar sogar recht bescheiden. Wie das BSI berichtet, ist auch Deutschland von WannaCry betroffen.

Die Ransomware WannaCry geht unter anderem auf diese Dateitypen los:

  1. Häufig benutzte Office-Formate wie zum Beispiel (.ppt, .doc, .docx, .xlsx, .sxi,sxw, .odt, .hwp).
  2. Archiv- und Multimedia-Dateien (.zip, .rar, .tar, .bz2, .mp4, .mkv)
  3. E-Mail und relevante Datenbanken (.eml, .msg, .ost, .pst, .edb).
  4. Datenbank-Dateien (.sql, .accdb, .mdb, .dbf, .odb, .myd).
  5. Quellcode und Projektdateien (.php, .java, .cpp, .pas, .asm).
  6. Schlüssel und Zertifikate (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
  7. Dateien von Fotografen und Grafik-Designern (.vsd, .odg, .raw, .nef, .svg, .psd, .raw, .gif, .png, .bmp, .jpg, .jpeg).
  8. Dateien, die zu virtuellen Maschinen gehören (.vmx, .vmdk, .vdi).

Wie konnte sich die Ransomware WannaCry verbreiten

Genau gesagt: Dank der NSA! besser gesagt den Leaks und der NSA Backdoor, die sich DoublePulsar nennt in Kombination mit einem Exploit namens EternalBlue. Also mal von vorne.

Das Ziel waren Windows Server, die nicht mit dem Patch MS17-010 vom 14. März 2017 aktualisiert waren. Die Angreifer haben Windows Server infiziert, auf denen das SMB-Protokoll läuft. Durch den Exploit EternalBlue konnten sie die NSA Backdoor Payload DoublePulsar installieren. Durch diese Hintertür marschierte WannaCry und die Ransomware hat sich rasch im gleichen Netzwerk ausgebreitet. Wie bereits erwähnt, mussten die Anwender nichts weiter tun.

Die Angreifer haben gezielt Windows 7, Windows Server 2008 und frühere Versionen des Betriebssystems aufs Korn genommen. Windows 10 ist nicht betroffen.

Die Malware WannaCrypt0r 2.0 fordert das Lösegeld in mehreren Sprachen. Experten raten wie immer dazu, der Forderung nicht nachzukommen. Das ermutigt die Angreifer nur. Viel schlauer ist, wenn man eine Sicherung und eine vernünftige Backup-Strategie hat – selbst mit einem Raspberry Pi und einer externen Festplatte lassen sich tolle Backup-Lösungen für Heimanwender basteln. Da musst Du nicht mal tief in die Tasche greifen.

Ransomware WannaCry wütet weltweit (securelist.com)

Ransomware WannaCry wütet weltweit (securelist.com)

Die Moral von der Geschicht?

Die NSA hat wohl nie damit gerechnet, dass ihr digitales Waffenarsenal an die Öffentlichkeit gerät. Das ist aber passiert und nun ist das Paradebeispiel eingetreten, vor dem so viele Security-Experten warnten. Security-Lücken sollten nicht gehortet, sondern gemeldet werden. Das gilt auch für die NSA und andere Geheimdienste. WannaCry ist ein erschreckend gutes Beispiel, was eine nicht gemeldete Security-Lücke in den Händen der falschen Leute ausrichten kann.

Natürlich müssen auch die Administratoren und Anwender in die Pflicht genommen werden, die ihre Security-Updates nicht einspielen. Der Patch war ab 14. März 2017 verfügbar und die Shadowbrokers haben das NSA-Arsenal aber erst am 14. April 2017 veröffentlicht.

Eine genaue Analyse über Verbreitung und so weiter findest Du bei Kasperksy.

Die guten Nachrichten?

Wenn es bei der Sache eine gute nachricht gibt, dann ist das: Die Cyberkriminellen scheinen mit WannaCry nicht massiv viel Geld zu machen. Drei Bitcoin-Adressen sind in die Ransomware eingecodet und bei Bitcoin lassen sich die Transaktionen öffentlich einsehen.

  • https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
  • https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
  • https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

Zusammengerechnet haben diese drei Adressen derzeit knapp über 17 Bitcoins empfangen – also knapp 28.000 Euro. Der wirtschaftliche Schaden dürfte weit höher sein.

Außerdem haben Security-Experten einen temporären Killswitch gefunden. WannaCry hat vor einer Infizierung geprüft, ob die Domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com registriert ist. Ist das der Fall, stoppt die Malware die Ausbreitung. Die Experten haben die Domain registriert und damit der Ransomware vorerst Einhalt geboten. Der Security-Experte war aber selbst über seinen Erfolg verblüfft. Er wusste nicht, dass ein Registrieren der Domain die Verbreitung stoppt:

Das heißt aber nicht, dass noch weitere Versionen folgen können. Ein Update der Computer ist weiterhin oberste Priorität.

Ich weiß, dass WannaCry mit Open Source und Linux zunächst wenig am Hut hat. Aber nicht gemeldete Security-Lücken können Linux genauso betreffen. Außerdem lässt sich mit Linux, wie bereits erwähnt, Abhilfe schaffen, indem Du eine günstige Backup-Lösung betreibst.

EIB unterstützt MariaDB mit 25 Millionen Euro

Die EIB (European Investmant Bank) hat MariaDB eine Geldspritze verabreicht, die sich sehen lassen kann. 25 Millionen Euro bekommt der MySQL-Fork aus Finnland, damit er sein Open-Source-Datenbanksystem weiter verbessern kann. MariaDB will das Geld nutzen, um die Kundenbasis in Europa, Asien und Amerika weiter auszubauen. Außerdem sollen weitere Entwickler angestellt werden.

Laut Joinup befindet sich der Datenbank-Markt gerade in einem Umschwung. Große Firmen würden immer häufiger proprietäre Systeme durch Open-Source-Datenbanklösungen ersetzen. Für MariaDB sei das eine große Chance.

MariaDB wird per Standard in vielen Linux-Distributionen ausgeliefert. Der Fork wurde nach der Akquisition von MySQL -> Oracle ins Leben gerufen. Die meisten Linux-Distributionen sind im Anschluss Stück für Stück auf MariaDB als Ersatz für MySQL umgestiegen. Die meisten Anwender haben davon nichts gemerkt, da es sich so gut wie um einen 1:1-Ersatz handelte.

Gut für MariaDB und Open Source würde ich sagen!

OpenShot 2.3.2 ist veröffentlicht

OpenShot 2.3.2 ist da und bringt Verbesserungen mit sich. Die neueste Version von openshot-qt prüft, welche Version von libopenshot installiert ist. Es kann vorkommen, dass zwar openshot-qt aktuell ist, libopenshot aber nicht. Somit stehen unter Umständen neuen Funktionen nicht zur Verfügung.

Weiterhin ist die Größe der Quellcode-Dateien kleiner. Bilder wurden weiter komprimiert, unnötige Übersetzungen sind verschwunden und so weiter. daraus resultieren sind Quellcode, Pakete und Installer kleiner.

OpenShot 2.3.2 findest Du im Download-Bereich der Projektseite für Linux, macOS und Windows. Für Linux gibt es ein AppImage.

Atom ist nun als Snap verfügbar

Atom ist ein Editor, der von GitHub unterstützt wird. Die Software hat binnen recht kurzer Zeit eine recht ansehbare Community um sich geschart. Es gibt bereits eine Bibliothek von über 6000 Addons für Atom.

Ab sofort ist Atom als Snap verfügbar und lässt sich deswegen entsprechend einfach unter Ubuntu installieren.

sudo snap install --classic atom

Das classic bei den Optionen bedeutet, dass die Anwendung nicht strikt beschränkt ist. Apps, die das sind, sehen /snap/core/current/ als root-Verzeichnis an. Bei Classic Snaps ist es /. Das sollte man vielleicht wissen, weil die Anwendung im Host-Dateisystem schreiben und lesen kann und nicht nur in der digitalen Gummizelle.

ONLYOFFICE 9.0.0

In der neuesten Version, ONLYOFFICE 9.0.0 ist DocuSign integriert. Damit lassen sich Dokumente digital unterschreiben.

Weiterhin gibt es Verbesserungen und neue Funktionen beim Dokumentenmanagement.

Weiterhin haben die Entwickler Twilio integriert. Damit kannst Du via VoIP mit Kollegen und anderen Anwendern kommunizieren.

Wenn Du Dich für ONLYOFFICE 9.0.0 interessierst, findest Du weitere Informationen in der offiziellen Ankündigung. Die Desktop-Version von ONLYOFFICE unterstützt Linux, macOS und Windows. Du findest die aktuelle Version in der Download-Sektion der Projektseite.

Kurz notiert

Gimp 2.8.22 ist veröffentlicht und darin sind diverse Fixes enthalten. Das Highlight ist wohl der Fix für einen Fehler (CVE-2007-3126) aus dem Jahre 2007. Das Import-Plugin hat sich damit zum Absturz bringen lassen, allerdings konnten die Entwickler den Fehler in Version 2.8 nicht reproduzieren. Somit war der Fehler auf der Prioritätenliste nicht wirklich weit oben. Nun ist er aber komplett aus der Welt geschaffen. Weitere Informationen findest Du im Changelog. Gimp 2.8.22 gibt es im Download-Bereich der Projektseite. Mit Gimp kannst Du tolle Sachen machen – zum Beispiel Objekte verschwinden lassen.

VLC 2.2.5.1 ist veröffentlicht. Es ist eine Wartungs-Version, und das Changelog ist nicht besonders umfangreich.

Kodi 18 Leia wird Windows Vista nicht mehr unterstützen.

Fans von Kdenlive können sich über die Update-Version 17.04.1 freuen.

Du kannst gerne Deinen Senf zu diesem Beitrag geben: Hier geht es zu den Kommentaren




Schreiben macht durstig! Eine kleine Erfrischung kann daher nie schaden. Wem dieser freie Artikel gefallen hat, der darf mir gerne einen frisch gezapften Hopfen-Tee ausgeben (Paypal - der Spenden-Knopf
)
oder

Bitcoin-Adresse: 1NacVNwcLLePUVv8uSafu5Ykdwh8QyDfgK

Ethereum-Adresse: 0x9cc684575721dc07b629ad5d81b43ab4b992e76e

Verge-Adresse: DJaJtZeW494xhnRJJt19Lnt2R5pz7zRp5A

Ich freue mich über jede noch so kleine Spende. Vielen Dank und Prost!

 
 Alle Kommentare als Feed abonnieren

Antworten