Neue WannaCry-Variante: EMail-Kontakt zum entschlüsseln gekappt

Seit gestern ist eine neue WannaCry-Version namens NotPetya unterwegs. Es wird berichtet, dass die neue Ransomware bereits erfolgreich bekannte Firmen wie Maersk, die Ukrainische National Bank, Merck, WPP und viele andere angegriffen und die Daten erfolgreich verschlüsselt hat.

Die neue Version verwendet ebenfalls die Eternal Blue-Lücke im SMB, das zuvor von NSA verwendet wurde um in Windows-Systeme einzudringen. Die aktuelle neue Welle zeigt, dass viele IT-Administratoren ihre Arbeitsplätze oder Server weiterhin nicht aktualisiert haben – obwohl ein offizieller Bugfix vor einiger Zeit veröffentlicht wurde.

Um Zugriff auf die verschlüsselten Daten zu erhalten, muss ein Benutzer einen eindeutigen “Installationsschlüssel” und seine Bitcoin Wallet ID an eine bestimmte E-Mail-Adresse senden. Anschließend wird angeblich der Entschlüsselungs-schlüssel von den Angreifern versendet.

Der Anbieter des E-Mail-Dienstes, Posteo, deaktivierte das von den Hackern verwendete Konto vollständig, nachdem bekannt wurde dass Posteo von den Hackern angegeben wurde. Letztendlich bedeutet dies, dass auch zahlungswillige Nutzer keine Chance haben die Daten zu entschlüsseln – alle Emails zu dem von den Hackern angegebenen Email-Konto werden abgewehrt und nicht zugestellt.

In einer E-Mail teilte Posteo mir, dass es keinerlei Garantie gäbe nach einer Zahlung tatsächlich die zur Daten-Entschlüsselung notwendigen Informationen zu erhalten. Zudem wolle man nicht, dass der Dienst für offensichtlich illegale Aktivitäten genutzt wird.