Infografik: WannaCry befällt hunderttausende Rechner
Grund dafür, dass die IT-Welt bei WannaCry verhältnismäßig glimpflich davongekommen ist, war die Tatsache, dass die Ransomware in den meisten Fälle Windows XP-Systeme "nur" zum Absturz brachte statt sie zu infizieren.
Windows XP-"Support"
Laut The Register gibt es nun eine Ransomware, die speziell auf Windows XP zugeschnitten ist, die Technikseite spricht sogar von "XP-Support". Das ist natürlich eine bewusst spitz gewählte Formulierung, denn Microsoft selbst hat den (Extended) Support von Windows XP im April 2014 beendet.Die GandCrab-Version 4.1 Ransomware hat einen SMB-Exploit-Spreader, der sich speziell gegen Windows XP und Windows Server 2003 richtet, wie der britische Sicherheitsexperte Kevin Beaumont herausgefunden hat. GandCrab ist bisher nicht die bekannteste Ransomware bzw. WannaCry-Variante, was schlichtweg daran liegt, dass sie keine besondere Verbreitung fand.
Die aktuellste Version könnte aber problematischer sein. Denn sie hat ein Modul namens "Network Fucker", hier kann man sicherlich von "Nomen est Omen" sprechen. Version 4.1 benötigt nicht länger einen Command-and-Control-Server, sondern kann auch in so genannten "Air Gap"-Umgebungen operieren, also wo IT-Systeme voneinander physisch und logisch getrennt sind, aber in denen eine Datenübertragung zugelassen ist.
An sich sollten aktuelle Virenscanner GandCrab 4.1 leicht erkennen können. Problematisch ist die Malware aber deshalb, weil sie sich in Legacy-Systemen ohne Internet-Zugang verbreiten kann und diese auch angreifen soll. Und gerade diese Umgebungen haben in der Regel keine (aktuelle) Antiviren-Software. Admins sollten zumindest den Ende des Vorjahres verteilten WannaCry-Patch MS17-010 aufspielen. Auf neueren Systemen kann man zusätzlich SMB1 deaktivieren.