Ransomware WannaCry: Sicherheitsexperte findet "Kill-Switch" – durch Zufall

Der Erpressungs-Software WannaCry, die sich seit Freitag rasend weltweit verbreitet und mehr als 100.000 Rechner befallen hat, wurde durch einen Zufall wohl vorerst der Wind aus den Segeln genommen: Ein Security-Experte fand einen Notschalter im Code.

In Pocket speichern vorlesen Druckansicht 154 Kommentare lesen
Nottauschalter gegen WannaCry-Ransomware aus Versehen gefunden

Die Ransomware WannaCry befiel weltweit mehr als 100.000 Computer.

(Bild: 
Malwaretech)

Lesezeit: 2 Min.
Von
  • Michael Link

Durch Zufall haben Sicherheitsforscher offenbar einen Weg gefunden, die weitere Verbreitung des Ransomware-Wurm WannaCry (WanaDecrypt0r 2.0) zu stoppen. Ein Experte, der auf Twitter als @malwareTechBlog unterwegs ist, und Darien Huss von Proofpoint haben im Code des Wurms eine Art Notausschalter für die Verbreitung der Ransomware entdeckt, die seit Freitag weltweit mehr als 100.000 Rechner befallen hat. Eine Entwarnung ist das nicht: Befallene Rechner bleiben verschlüsselt.

Der Guardian berichtet, dass der "Notausschalter" offenbar vom Entwickler des Schädlings selbst eingebaut wurde, um die Ausbreitung der Ransomware stoppen zu können. Der Schalter funktioniert offenbar so: Der Kryptotrojaner schickt einen Request auf die Internetadresse "www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com". Wenn eine Antwort kommt, verbreitet sich der Wurm nicht weiter.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Inhalt geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Der 22-jährige britische Malwaretech-Forscher fand die eigenartige Internetadresse im Code und registrierte die Domain für 10,69 US-Dollar. Er richtete dafür einen Server ein und hoffte so, weitere Informationen über den Kryptotrojaner sammeln zu können. Sofort entdeckte er 5000 bis 6000 Verbindungsversuche pro Sekunde. Zum Zeitpunkt der Guardian-Meldung waren es bereits 78.000 – inzwischen sind es mehr als 117.000.

WannaCry verbreitet sich rasend schnell.

Unverhoffter Seiteneffekt war, dass die Verbreitung von WannaCry gestoppt wurde, weil die Ransomware nun immer eine Antwort auf seine Requests fand. Die gesammelten Daten hat der Sicherheitsforscher unter anderem den Behörden zur Verfügung gestellt.

Allzu optimistisch darf man trotzdem nicht sein. Solange Computer ohne entsprechende Sicherheitspatches stark verbreitet sind,wird es laut Malwaretech eine hundertprozentige Garantie geben, dass es eine neue Variante geben werde. Für die man beim nächsten Mal vielleicht keinen Notaus-Knopf findet.

Update: Inzwischen schildert der Sicherheitsexperte in einem ausführlichen Blogpost, wie er die "Kill Switch" entdeckt hat. (mil)