WannaCry-Ransomware ist die neue und weit verbreitete Cyber-Pandemie, die bereits mehr als 230.000 Computer als Geiseln genommen hat. Mit seinem aktuellen Verbreitungsvolumen nähert sich WannaCry dem Niveau anderer berüchtigter Cyber-Bedrohungen wie Cerber oder Locky.
Was zeichnet dennoch aus WCry von diesen beiden gefährlichsten Parasiten des letzten Jahres ist der Einsatz neuer Verbreitungstechniken, die Opfer müssen nicht auf die infizierten Links klicken oder an der Ransomware-Akquisition in einem anderen teilnehmen Weg.
Die Malware verwendet Praktiken und Tools des US-Geheimdienstes, um in Computer einzudringen und das bösartige Skript auszuführen, um die Daten des Benutzers unzugänglich zu machen. Insbesondere verwendet Ransomware den EternalBlue-Exploit, um Windows-Geräte mit einer ungepatchten MS17-010-Sicherheitslücke anzugreifen. Diese Sicherheitslücke ist bei Windows-Versionen offen, die nicht mehr unterstützt werden und keine Sicherheitsupdates erhalten.
Glücklicherweise hat Microsoft als Reaktion auf die jüngsten Ereignisse Notfall-Patches für Windows XP, Windows Server 2003, Windows 8 und einige andere veraltete Betriebssysteme veröffentlicht. Aber selbst das Software-Update reicht möglicherweise nicht aus, um Ransomware-Angriffe zu verhindern.
Nachfolgend finden Sie Anweisungen zum Deaktivieren der SMB-Funktion (Server Message Block), die zum Bereitstellen des bösartigen verwendet wird WanaCrypt0r Dateien auf dem Computer. Bevor wir jedoch zum Tutorial übergehen, möchten wir Ihnen eine kurze Definition der Malware und ihres Verhaltens auf dem infizierten Computer geben, damit Sie sie leichter erkennen können.
Wannacry verwendet verschiedene Erweiterungen, um verschlüsselte Dateien zu markieren
Wie Sie vielleicht bemerkt haben, haben wir in den vorherigen Absätzen verschiedene Namen verwendet, um auf den WannaCry-Virus zu verweisen. Das liegt daran, dass das Virus in einer Vielzahl von verschiedenen Formen und Formen herumreist, die höchstwahrscheinlich schwieriger zu erkennen und zu beenden sind.
Die Forschung hat ergeben, dass das Virus jetzt vier verschiedene Erweiterungen verwendet .wncry, .wncrytt, .wcry oder .wncryt, um die verschlüsselten Dateien zu markieren, aber wir können weitere Variationen erwarten, wenn die Ransomware aufgreift Geschwindigkeit. Um diese Erweiterungen fallen zu lassen und Dateien wiederherzustellen, müssen die Benutzer den Erpressern bis zu 600 Dollar in Bitcoin zahlen; andernfalls werden die verschlüsselten Daten zerstört. @[E-Mail geschützt] Fenster öffnet einen Timer, der die Zeit bis zur Datenvernichtung herunterzählt. Leider gibt es derzeit keine kostenlose Entschlüsselungssoftware, mit der verschlüsselte Daten kostenlos wiederhergestellt werden können.
Wenn Sie einmal infiziert sind, können Sie also nicht mehr viel tun, um die Folgen des Angriffs rückgängig zu machen. Daher ist es viel wichtiger, Maßnahmen zu ergreifen und Ihr Gerät zu schützen, bevor ein Virus Ihr System befällt. Hier sind einige Schritte, die Sie unternehmen sollten, um die Infiltration von WannaCry zu verhindern.
Wie deaktiviert man SMB und verhindert einen WannaCry-Angriff?
Die SMB-Funktion (Server Message Block) ist die wichtigste Schwachstelle, die es der Ransomware ermöglicht, Computer zu infizieren. Da diese Funktion unter Windows standardmäßig aktiviert ist, können Erpresser sie leicht verwenden, um den Angriff auszuführen. Daher empfehlen wir dringend, es zu deaktivieren, wenn Sie es nicht verwenden. Es ist wirklich einfach und Sie können es in drei grundlegenden Schritten erreichen:
- Klicken Sie auf das Windows-Logo in der unteren linken Ecke des Bildschirms und geben Sie „Windows-Funktionen“ in die Suchleiste ein
- Öffnen Sie das Funktionsfenster, gehen Sie zu den Einstellungen und suchen Sie nach dem SMB-Eintrag. Deaktivieren Sie es und klicken Sie auf OK
- Starte den Computer neu
Sie können SMB auch über PowerShell deaktivieren. Was Sie tun müssen, ist "Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol" einzugeben. Nachdem die Funktion deaktiviert wurde, empfehlen wir, den Computer neu zu starten.