Video: Unerwartete Fragen zur Wanna Cry Malware...
/Die letzte Malware Attacke wirft einige (unbequeme) Fragen auf...
Im Video erkläre ich ein paar (unerwartete?) Zusammenhänge:
- Wer ist eigentlich "schuld" an der WannaCry Affaire?
- Wie kann ich mich schützen?
- Wie funktioniert die Malware?
- Was ist ein KryptoTrojaner?
- Welche Rolle spielte die NSA und die "ShadowBrokers"?
- Kam die Katastrophe aus Nordkorea?
- Was ist ein "Kill Switch"?
- Wohin wird des Geld transferiert (über welche Bitcoin Wallets und was ist das eigentlich)?
Wer den Links aus dem Video folgen möchte, findet sie hier:
Auf der Suche nach den Bitcoin Wallets...
- https://bitcointalk.org/index.php?topic=1919069.0
- https://bitcointalk.org/index.php?topic=1916199.0
- https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
- https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
- https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
Ergänzung zum Video:
WannaCry "Killswitch" Interpretation (von MrCanidi als erstes erwähnt): Hier soll wohl eine virtuelle Maschine erkannt werden. Das ist so gedacht: Viele Sicherheitslösungen für Email werfen Software erst einmal in einer Sandbox an und schauen, was sie so treibt.
Fängt diese Software dann an, übers Netz Anfragen zu verschicken, antwortet die Sandbox Umgebung mit "jaja - da ist eine Gegenstelle". WannaCry schickt jetzt an eine nicht existierende Adresse eine Anfrage. Kommt eine Antwort, nimmt die Software an, sie wäre in einer "Testumgebung" und stellt sich tot. Damit wird eine Erkennung verzögert / Analyse erschwert.
*ABER*: Das halte ich für total stümperhaft (deswegen bleibe ich bei meiner Einschätzung, das wäre ein "Bug") - denn man sollte nicht immer die identische Adresse verwenden (wie hier geschehen).
UNTERSTÜTZT DAS BLOG!
Verwendet Amazon Affiliate Links oder klickt vor dem Einkauf auf diesen [Link], um zu Amazon zu gelangen - Euer Einkauf wird nicht teurer dadurch!