Microsoft unterstützt Windows XP schon lange nicht mehr, dennoch kommt der Betriebssystem-Oldie immer noch an diversen Stellen zum Einsatz. Das sind teilweise besonders empfindliche Systeme in beispielsweise Krankenhäusern, dort haben die Macher oftmals keine Alternative. Das nutzen Ransomware-Macher gezielt aus.

Im Mai des Vorjahres sorgte eine Ransomware-Attacke bisher ungeahnten Ausmaßes für Aufsehen. Der als WannaCry bekannt gewordene Angriff ist zwar letztlich nicht so schlimm ausgefallen wie anfangs gedacht oder befürchtet, dennoch zeigte die Attacke, wie anfällig essentielle IT-Systeme sein können.

Grund dafür, dass die IT-Welt bei WannaCry verhältnismäßig glimpflich davongekommen ist, war die Tatsache, dass die Ransomware in den meisten Fälle Windows XP-Systeme „nur“ zum Absturz brachte statt sie zu infizieren.

Windows XP-„Support“

Laut The Register gibt es nun eine Ransomware, die speziell auf Windows XP zugeschnitten ist, die Technikseite spricht sogar von „XP-Support“. Das ist natürlich eine bewusst spitz gewählte Formulierung, denn Microsoft selbst hat den (Extended) Support von Windows XP im April 2014 beendet.

Die GandCrab-Version 4.1 Ransomware hat einen SMB-Exploit-Spreader, der sich speziell gegen Windows XP und Windows Server 2003 richtet, wie der britische Sicherheitsexperte Kevin Beaumont herausgefunden hat. GandCrab ist bisher nicht die bekannteste Ransomware bzw. WannaCry-Variante, was schlichtweg daran liegt, dass sie keine besondere Verbreitung fand.

Die aktuellste Version könnte aber problematischer sein. Denn sie hat ein Modul namens „Network Fucker“, hier kann man sicherlich von „Nomen est Omen“ sprechen. Version 4.1 benötigt nicht länger einen Command-and-Control-Server, sondern kann auch in so genannten „Air Gap“-Umgebungen operieren, also wo IT-Systeme voneinander physisch und logisch getrennt sind, aber in denen eine Datenübertragung zugelassen ist.
An sich sollten aktuelle Virenscanner GandCrab 4.1 leicht erkennen können. Problematisch ist die Malware aber deshalb, weil sie sich in Legacy-Systemen ohne Internet-Zugang verbreiten kann und diese auch angreifen soll. Und gerade diese Umgebungen haben in der Regel keine (aktuelle) Antiviren-Software. Admins sollten zumindest den Ende des Vorjahres verteilten WannaCry-Patch MS17-010aufspielen. Auf neueren Systemen kann man zusätzlich SMB1 deaktivieren.

PA-21 FAMILY DELL INSPIRON DA65NS4-00 XK850 Netzteile/Adapters
PN402 0PN402 DA230PS0-00 330-0722 CN072 PA-19 Dell 230W AC Power Adapter ladegerät Cord für Dell XPS M1730 Laptops Netzteile/Adapters
404600 akkus für Bose SOUNDLINK I II III
061384 061385 akkus für BOSE SOUNDLINK Mini serie
063404 akkus für BOSE SOUNDLINK Mini I serie
HF12 Philips HF3520/3485/3480/3471/3470 Wake-Up Light EXCELLENT Netzteile/Adapters
GNS-I60 akkus für Gigabyte P35N P35W P35X P37K P37X P57X P35G P57W