WannaCry Ransomware ist ein Schadprogramm (Malware/Computerwurm), welches Windows-Betriebssystem befällt und dann bestimmte Benutzerdateien verschlüsselt und Lösegeld fordert. Zudem versucht der Netzwerkwurm weitere Windows-Rechner zu infizieren und installiert die schon bekannte Backdoor DoublePulsar. WannaCry ist auch als WannaCrypt0r, WannaCrypt, WCRY und WRypt bekannt. Er besteht aus zwei kombinierten bösartigen Komponenten, nämlich einer Ransomware-Variante und einem Wurm. Diese arbeiten in der Angriffsphase zusammen. Zudem versucht der Netzwerkwurm weitere Windows-Rechner zu infizieren und installiert die schon bekannte Backdoor DoublePulsar.

Im Jahr 2017 wurde eine große Anzahl von Computern in mehr als 150 Ländern angegriffen, unter denen auch Unternehmen wie FedEx,  Telefonica und die Deutsche Bahn Ziele waren. Der Vorfall von 2017 ist einer der bekanntesten Ransomware-Angriffe, die jemals stattgefunden haben. Die geschätzten Kosten der durch die WannaCry-Ransomware verursachten Cyberkriminalität werden weltweit auf 4 Milliarden US-Dollar geschätzt. Die Ransomware zielt vor allem auf ältere Versionen des Windows-Betriebssystems ab. Mit 43% stellen Büroangestellte die Hauptangriffszielgruppe dar.

Wie Ransomeware funktioniert:

Wie WannaCry funktioniert:

Beispiel-Screenshot des Lösegeldzahlungsverfahrens für den WannaCry-Angriff:

Flexxon testete die WannaCry-Ransomware auf einer X-PHY® SSD und einer normalen SSD, um die Reaktionen zu sehen. In weniger als 5 Sekunden stoppte X-PHY® den Angriff auf der Stelle, sperrte alle Daten und benachrichtigte den Benutzer sofort per E-Mail.

Im ersten Schritt wurde die Ransomware auf einer normalen SSD getestet. Die Sicherheit des Laptops ist in diesem Fall eine Antivirensoftware. Das Antivirenprogramm zeigt an, dass der Computer sicher ist und keine Ransomware erkannt wird (Die Virendefinition wurde eine Minute zuvor aktualisiert). Das Virenprogramm kann nur bekannte Ransomware erkennen, da es sich auf eine signaturbasierte Erkennung stützt und nicht in der Lage ist, unbekannte Ransomware zu erkennen.

Die WannaCry.py ist eine modifizierte Version der Ransomware und wurde von der Antiviren-Software nicht erkannt. Dieser Ordner enthält einige GB an Daten zu Testzwecken und wird von der WannaCry-Ransomware angegriffen.

Jetzt ist die Ransomware aktiviert und beginnt, die Dateien im Testordner zu verschlüsseln.

Die WannaCry-Ransomware hat alle Dateien im Testordner verschlüsselt. Die verschlüsselten Dateien haben die Endung .crypt. In realen Szenarien können sie nur wiederhergestellt werden, wenn das Opfer das Lösegeld an den Hacker zahlt, um den Entschlüsselungsschlüssel zu erhalten.

Bevor die Ransomware mit der X-PHY SSD im Laptop ausführt wird, ist zu Überprüfen, dass in den Konfigurationseinstellungen im X-PHY-Tool die Sicherheitsfunktionen zum Schutz vor Ransomware-Angriffen aktiviert sind. Wenn diese nicht aktiviert sind, muss zuerst auf „Übernehmen“ geklickt werden und der Benutzer sich erneut mit dem Passwort verifizieren, das für die Anmeldung beim X-PHY-Tool zusammen mit der 2FA (2-Faktoren-Authentifizierung) verwendet wurde.

Nachdem die Sicherheitsfunktionen aktiviert wurden, wurde die WannaCry-Ransomware im Testordner aktiviert.

Innerhalb weniger Sekunden ist X-PHY in der Lage, die Ransomware zu erkennen, indem es das Verhalten der Ransomware im Lese- und Schreibmuster auf Firmware-Ebene erkennt. Die X-PHY SSD wird gesperrt und der Laptop wird sofort heruntergefahren.

Gleichzeitig erhält der benutzer eine E-Mail-Benachrichtigung über den Ransomware-Angriff.

Wenn der Laptop nach dem Ransomware-Angriff neu startet, wird das Boot-Menü aufgerufen, da die X-PHY SSD gesperrt ist, um die Daten darin zu schützen. Um sie zu entsperren, muss der Benutzer die X-PHY-Mobilanwendung öffnen und sich über Bluetooth mit dem X-PHY-SSD verbinden.

Sobald die Sperre aufgehoben wurde, kann wie gewohnt darauf zugegriffen werden. Die Daten sind durch den X-PHY-Schutz gesichert und geschützt.

• Die X-FILE FORENSIC AGENT-Funktionen ACTIVE DETECTIVE und DEEP INVESTIGATION bieten zusätzlichen Dateischutz, indem sie jede illegale Datenänderung verhindern. Außerdem zeichnen sie alle Aktivitäten und deren Anwendung auf, so dass X-PHY® verdächtige Akteure leicht identifizieren kann.
• Die X-GUARD THREAT LOCK-Funktionen SECURITY SCOUT und GUARDIAN PRO-X arbeiten zusammen, um jeden Versuch der Ransomware zu stoppen, in Ihre sensiblen Daten einzudringen oder sie zu klonen.
• Wenn das Programm verdächtige Aktivitäten zum Einbruch und/oder zur Verschlüsselung von Benutzerdaten bemerkt, löst es den X-FACTOR ENCRYPTION LOCK aus. Die KEYCODE 2-FACTOR-Funktion in X-FACTOR ENCRYPTION LOCK sperrt alle Daten in X-PHY® und macht sie für die Ransomware unzugänglich.
• Die X-PHY® SSD sendet eine Benachrichtigung an den Benutzer auf seinem Computer, dass Ransomware entdeckt worden ist. Gleichzeitig wird eine E-Mail-Benachrichtigung an die registrierte E-Mail-Adresse des Nutzers gesendet. Der Nutzer benötigt ein OTP, um die SSD zu entsperren.

• https://de.wikipedia.org/wiki/WannaCry
• https://www.sdxcentral.com/security/definitions/case-study-wannacry-ransomware/#:~:text=The%20WannaCry%20ransomware%20attack%20of,which%20is%20still%20felt%20today
• https://www.acronis.com/en-sg/articles/nhs-cyber-attack/
• https://dig.watch/trends/wannacry
• https://www.europol.europa.eu/wannacry-ransomware