WannaCry: Nur 0,1 Prozent der Opfer zahlen Lösegeld

Eine Analyse der Bitcoin-Wallets, die die Ransomware WannaCry ihren Opfern für die Zahlung von Lösegeld vorschreibt, hat gezeigt, dass nur etwa 0,1 Prozent der Opfer auf die Forderung der Erpresser eingeht. Insgesamt sollen bisher lediglich 297 Zahlungen eingegangen sein. Den jüngsten Zahlungseingang registrierte ein Bot des Entwicklers Keith Collins heute etwa gegen 1 Uhr morgens mitteleuropäischer Sommerzeit.

Sollte die Analyse des Forschers vollständig sein, hätten die Hintermänner von WannaCry seit dem ersten Ausbruch der Ransomware vor rund zehn Tagen etwa 49 Bitcoins oder 106.000 Dollar eingenommen. Damit zahlte jedes Opfer durchschnittlich rund 357 Dollar Lösegeld. Die täglichen Einnahmen beliefen sich bisher auf durchschnittlich fast 10.000 Dollar. Allerdings gingen seit 19. Mai, also in den vergangenen vier Tagen, nur zwölf Zahlungen ein – acht Geldeingänge erfasste der Bot alleine am 19. Mai, danach nur noch täglich eine Zahlung.

WannaCry fordert von seinen Opfern ein Lösegeld von 300 Dollar als Gegenleistung für einen Schlüssel zum Entschlüsseln der eigenen Dateien. Nach drei Tagen erhöht sich der Betrag auf 600 Dollar. Zudem drohen die Erpresser mit der dauerhaften Löschung der Dateien, falls ihre Forderung nicht innerhalb von einer Woche erfüllt wird.

Damit ist klar, dass WannaCry trotz der hohen Verbreitung nicht an den Erfolg von Ransomware wie Locky oder Cerber anknüpfen kann. Insgesamt sammelten Cybererpresser im vergangenen Jahr rund eine Milliarde Dollar ein.

WannaCry, auch als WannaCrypt oder WanaCrypt0r bekannt, hat weltweit mehrere 100.000 Windows-PCs befallen. Die Attacke startete am 12. Mai und hat vor allem die britische Gesundheitsbehörde in Mitleidenschaft gezogen. Ist die Schadsoftware auf einem Rechner aktiv, sucht sie im Netzwerk nach weiteren PCs und infiziert diese. Die Cyber-Attacke nutzt eine Windows-Schwachstelle im SMB-Protokoll aus, die Microsoft allerdings Mitte März geschlossen hatte.

Laut Kaspersky sind von der Attacke vor allem Windows-7-PCs betroffen. Das geht aus Telemetriedaten der Sicherheitsprodukte von Kaspersky Lab hervor. 60,35 Prozent der WannaCry-Infektionen fand das Unternehmen auf Rechnern mit Windows 7 64-Bit, 31,72 Prozent auf Windows 7 32-Bit, 3,67 Prozent auf Windows 7 Home 64-Bit und 2,61 Prozent auf Windows 7 Home 32-Bit. Damit kommt das OS auf einen Gesamtanteil von 98,35 Prozent.

Zwar lassen sich auch PCs mit Windows XP mit der Software infizieren, wenn sie direkt auf dem Rechner ausgeführt wird. Allerdings führt ein Fehler in der Schadsoftware dazu, dass sich XP-PCs WannaCry nicht über die Schwachstelle im SMB-Protokoll einfangen können.

Französische Sicherheitsforscher haben indes Tools für die Entschlüsselung von Computern veröffentlicht, die durch die Ransomware WannaCry verschlüsselt wurden. Sie wurden inzwischen erfolgreich bei Rechnern mit Windows XP und Windows 7 getestet, sollten also bei jeder Windows-Version von XP bis 7 einsetzbar sein. Eine Entschlüsselung ist damit aber nicht garantiert, sondern an bestimmte Voraussetzungen gebunden – unter anderem darf ein Rechner nach der Infektion mit WannaCry nicht neu gestartet werden, was viele Betroffene wahrscheinlich bereits getan haben.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.