Durch Zufall haben Sicherheitsforscher offenbar einen Weg gefunden, die weitere Verbreitung des Ransomware-Wurm WannaCry (WanaDecrypt0r 2.0) zu stoppen. Ein Experte, der auf Twitter als @malwareTechBlog unterwegs ist, und Darien Huss von Proofpoint haben im Code des Wurms eine Art Notausschalter für die Verbreitung der Ransomware entdeckt, die seit Freitag weltweit mehr als 100.000 Rechner befallen hat. Eine Entwarnung ist das nicht: Befallene Rechner bleiben verschlüsselt.

Kryptotrojaner sucht Verbindung

Der Guardian berichtet, dass der "Notausschalter" offenbar vom Entwickler des Schädlings selbst eingebaut wurde, um die Ausbreitung der Ransomware stoppen zu können. Der Schalter funktioniert offenbar so: Der Kryptotrojaner schickt einen Request auf die Internetadresse "www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com". Wenn eine Antwort kommt, verbreitet sich der Wurm nicht weiter.

I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental. — MalwareTech (@MalwareTechBlog) 13. Mai 2017

Der 22-jährige britische Malwaretech-Forscher fand die eigenartige Internetadresse im Code und registrierte die Domain für 10,69 US-Dollar. Er richtete dafür einen Server ein und hoffte so, weitere Informationen über den Kryptotrojaner sammeln zu können. Sofort entdeckte er 5000 bis 6000 Verbindungsversuche pro Sekunde. Zum Zeitpunkt der Guardian-Meldung waren es bereits 78.000 – inzwischen sind es mehr als 117.000.

WannaCry verbreitet sich rasend schnell.

Unverhoffter Seiteneffekt war, dass die Verbreitung von WannaCry gestoppt wurde, weil die Ransomware nun immer eine Antwort auf seine Requests fand. Die gesammelten Daten hat der Sicherheitsforscher unter anderem den Behörden zur Verfügung gestellt.

Trügerische Hoffnung

Allzu optimistisch darf man trotzdem nicht sein. Solange Computer ohne entsprechende Sicherheitspatches stark verbreitet sind,wird es laut Malwaretech eine hundertprozentige Garantie geben, dass es eine neue Variante geben werde. Für die man beim nächsten Mal vielleicht keinen Notaus-Knopf findet.

Update: Inzwischen schildert der Sicherheitsexperte in einem ausführlichen Blogpost, wie er die "Kill Switch" entdeckt hat. (mil)