Welt 

Erpresser-Virus: Experte stoppt Trojaner - aus Zufall

Auf zahlreichen deutschen Bahnhöfen waren am Samstagvormittag wegen des Cyber-Angriffs die Anzeigetafeln "tot".
Auf zahlreichen deutschen Bahnhöfen waren am Samstagvormittag wegen des Cyber-Angriffs die Anzeigetafeln "tot".
Foto: dpa

Berlin/London. Einem IT-Experten ist es am Samstag gelungen, den seit Freitag weltweit grassierenden Erpresser-Virus zu stoppen.

Die Angreifer scheinen eine Art Notbremse in ihr Programm eingebaut zu haben - und die Attacke wurde abgewürgt, nachdem ein IT-Forscher den Mechanismus auslöste. Der Betreiber des Blogs "MalwareTech" fand nach eigenen Angaben einen Web-Domainnamen im Computercode der Schadsoftware und registrierte ihn. Das reichte aus, um die Ausbreitung zu stoppen.

So funktioniert der Trojaner

Denn das Angriffsprogramm versucht bei jeder Infektion eines neuen Rechners, diese Webadresse anzusteuern, erklärte die Sicherheitsfirma Malwarebytes in einer Analyse. Ist sie aktiv, bleibt die Attacke aus.

Der Sicherheitsforscher von "MalwareTech" selbst räumte ein, dass ihm anfangs nicht bewusst gewesen sei, dass er mit dem Schritt die Attacke stoppen würde. Er sei ein "Held durch Zufall", sagte Ryan Kalember von der IT-Sicherheitsfirma Proofpoint der Zeitung "Guardian".

Zugleich warnten Experten, dass die Angreifer mit einer modifizierten Version ihrer Software zurückkommen könnten. Deshalb müsse man die Ruhe jetzt dringend nutzen, um den Schutz der Computer auf den neuesten Stand zu bringen.

75.000 Computer infiziert

Der Trojaner hatte nach Angaben der IT-Sicherheitsfirma Avast in 99 Ländern insgesamt rund 75.000 Computer von Unternehmen, Behörden und Verbrauchern lahmgelegt, darunter auch Systeme der Deutschen Bahn. Betroffen gewesen seien aber nur Anzeigetafeln an Bahnsteigen. Noch gebe es einige Probleme, doch Techniker "arbeiten mit Hochdruck daran, die Störung zu beheben", teilte ein Bahn-Sprecher mit. Es gebe keine Einschränkungen im Fern- und Nahverkehr.

In Großbritannien waren Krankenhäuser unter anderem in London, Blackpool, Hertfordshire und Derbyshire lahmgelegt, wie der staatliche Gesundheitsdienst NHS mitteilte. Computer seien zum Teil vorsorglich heruntergefahren worden, um Schäden zu vermeiden. Patienten wurden gebeten, nur in dringenden Fällen in Notaufnahmen zu kommen, berichtete die britische Nachrichtenagentur PA. Zum Teil mussten Patienten in andere Krankenhäuser umgeleitet werden. Der französische Autobauer Renault musste teilweise seine Produktion stoppen.

Lösegeld in Bitcoin

Die Waffe der Angreifer, die 300 Dollar "Lösegeld" in der Internet-Währung Bitcoin forderten - war Experten zufolge die Schadsoftware "Wanna Decryptor", auch bekannt als "Wanna Cry". Sie missbrauchte eine einst von der NSA ausgenutzte Windows-Sicherheitslücke. Geheimdienste suchen gezielt nach solchen Schwachstellen, um sie heimlich auszunutzen.

Nachdem unbekannte Hacker im vergangenen Jahr gestohlene technische Informationen der NSA dazu veröffentlicht hatten, wurden die Lücke eigentlich von Microsoft gestopft. Aber nicht alle Computer wurden auf den neuesten Stand gebracht - und das rächte sich jetzt. In die Ermittlungen hat sich unter anderem das Bundeskriminalamt eingeschaltet.