Wannacry mutiert zu Uiwix - Neue Variante ohne Killswitch verbreitet sich

Die Erpresser-Software Wannacry wurde wie von Sicherheitsexperten befürchtet, leicht verändert und verbreitet sich nun in neuen Varianten mit und ohne Killswitch.

von Georg Wieselsberger,
16.05.2017 07:21 Uhr

Die Erpresser-Software Uiwix hat keinen Killswitch. (Bildquelle: Heimdal Security)Die Erpresser-Software Uiwix hat keinen Killswitch. (Bildquelle: Heimdal Security)

Nachdem die Schadsoftware Wannacry durch einen zufällig entdeckten Killswitch gestoppt werden konnte, wenn ein infizierter PC Kontakt zu einer bestimmten Domain aufnehmen kann, hatten Sicherheitsexperten davor gewarnt, die Gefahr zu unterschätzen. Der Killswitch könnte entfernt werden und genau das ist nun laut einem Blogbeitrag von Heimdal Security auch passiert.

Uiwix gefährlicher als Wannacry

Eine neue Variante, die die Forscher Uiwix nennen, nutzt die gleiche Sicherheitslücke in Windows aus, versucht sich ebenso selbst weiter zu verbreiten wie Wannacry und verschlüsselt Dateien, die dann mit der Endung .uiwix versehen sind. Die betroffenen Nutzer werden in einem Text auf mehrere Webseiten im Tor-Netzwerk hingewiesen, auf denen weitere Informationen zur Wiederherstellung der Daten zu finden sind. Das Lösegeld beträgt in diesem Fall 0,11943 Bitcoins, die laut aktuellem Kurs rund 192 Euro wert sind. Laut Heimdal Security ist diese neue Variante aufgrund des fehlenden Killswitches deutlich gefährlicher als Wannacry selbst.

Die einzige Möglichkeit, sich gegen den Angriff zu schützen, sei die Installation der entsprechenden Patches von Microsoft. Alle noch aktuellen Windows-Betriebssysteme hatten das Updates bereits im März erhalten, doch Microsoft hat wegen der Angriffe die Updates auch für ältere Versionen ab Windows XP bereitgestellt.

Auch andere Versionen mit neuem Killswitch

Das Sicherheitsunternehmen Comae weist darauf hin, dass es auch weitere Wannacry-Versionen gibt, die immer mehr PCs infizieren. Hier haben sich die Erpresser weniger Mühe gegeben und die Killswitch-Domain einfach verändert. Nachdem Comae diese Domain registriert hatten, endeten auch die Angriffe. Vermutlich ist in nächster Zeit mit vielen weiteren Varianten zu rechnen.

Quelle: Heimdal, Comae


Kommentare(43)

Nur angemeldete Benutzer können kommentieren und bewerten.