Artikel: Petya: Microsoft analysiert die neue Ransomware-Attacke

Anzeige

Setter

gehört zum Inventar
Mit dem Fall Creators Update wir dieses Protokoll ja dann standardmäßig deaktiviert bzw. die Unterstützung wird komplett entfernt.

Hast du da neue Informationen zu? Mein Kenntnisstand ist lediglich der, das bei neuer Installation SMB1 per default deaktiviert ist. Was nicht zwingend bedeutet, das nach einem Upgrade auch der Fall ist.
 

black14987

nicht mehr wegzudenken
Es ist übrigens nicht richtig das der Trojaner nur auf die Sicherheitslücke zielt.
Der erste Angriffsvektor ist offenbar eine Email mit Link. Haben wir zumindest in den letzten Tagen viele rausfischen können. Teilweise echt gut gemacht.
 

areiland

Computer Legastheniker
@Setter
Deshalb hab ich die Unterstützung für die SMB 1.0 Dateifreigabe auf meinen Systemen auch überall deaktiviert. Denn die ist nach wie vor aktiviert.
 

Martin

Webmaster
Teammitglied
@Setter: Mein aktueller Stand ist: Bei Home und Pro wird SMB1-Server mit dem Update entfernt, der Client bleibt erhalten. Aus Enterprise und Education fliegt es komplett raus.
 

Setter

gehört zum Inventar
@black14987 Das hast du etwas missverstanden. Martin hat es schon richtig ausgeführt. Die eigentliche Verbreitung und Infektion erfolgt über eine Sicherheitslücke.

@Martin
Verlink doch gerade mal bitte die Anleitung zum Deaktivieren. Könnte Anderen sicher helfen.
 

adf

kennt sich schon aus
Interessant, dass es andere aber ganz anders einschätzen:

Since*Petya Ransomware is also taking advantage of WMIC and PSEXEC tools to infect fully-patched Windows computers, you are also advised to disable WMIC (Windows Management Instrumentation Command-line).
Quelle: Petya Ransomware Spreading Rapidly Worldwide, Just Like WannaCry

Für mich liest sich das so wenn du das Ding auf einer Kiste im Netz einfängst du dir gleich den Kopfschuss geben kannst. Somit frage ich mich echt: was stimmt denn nun?! Fully Patched= ok? oder ist man doch angreifbar?

Gruss
 

black14987

nicht mehr wegzudenken
Wenn ich das richtig sehe, dann muss ein Rechner hinter der Firewall sich das Ding einfangen. In einem nicht geschotteten Netz, kann der Virus dann einfach alle Netzwerkgeräte versuchen zu infizieren.
Aber die Initialzündung muss über eine Infizierte Webseite oder eine E-Mail oder was ähnliches kommen. Wir sind selbst verschont, konnten aber die letzten Tage ein hohes aufkommen an Emails mit fragwürdigen Links feststellen.
 

Ulrike Riess

Herzlich willkommen
Hi zusammen,
unseres Wissens (also die Infos kommen aus unserer Entwicklerabteilung) befällt diese Ransomware auch gepatchte Systeme. Es ist wohl auch so, dass Systeme infiltriert werden können, selbst wenn Windows noch nicht geladen ist.Zudem klaut die Malware die Anmeldedaten des infizierten Rechners und befällt dann andere Systeme (bzw. versucht es).
Es zeigt sich einfach, das Ransomware aggressiver und schneller wird. Ich finde es zudem bedenklich, das hier offensichtlich die IT-Stratgeien großer Unternehmen kläglich versagen. lernkurve scheint gegen Null zu tendieren. Da muss was passieren, denn hier war eben nicht irgend ein dummer Enduser das Problem.
Viele Grüße, Euer Acronis-Team
 

Setter

gehört zum Inventar
Aber die Initialzündung muss über eine Infizierte Webseite oder eine E-Mail oder was ähnliches kommen
Das ist richtig! "oder was ähnliches" ist der springende Punkt.
Ich erinnere jetzt mal an den Windows S Hack. Auch wenn er, ohne es abwertet zu meinen, eher die Qualität des manuelles Virus /format c: hat, zeigt er ganz deutlich einen Schwachpunkt auf den man nicht so einfach auf die Schulter nehmen sollte. Nämlich das ausführen von Dateien aus einer vertrauenswürdigen Quelle.
Hier ist es Firmen angeraten ihre Sicherheitsrichtlinien auf mögliche Schwachstellen abzuklopfen, Mitarbeiter Informationen zu geben und evt. den Dokumentenschutz zu überprüfen gegebenenfalls zu überarbeiten.

Edit:
Auweia
In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind.
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/PM_petya_global_27062017.html

Ich rate zum Universallwerkzeug zum kappen der Leitung
 
Zuletzt bearbeitet:

gborn

nicht mehr wegzudenken
Die Deaktivierung von SMBv1 ist auf einem privaten Rechner sicher kein Problem. In Unternehmen gibt es imho aber erhebliche Kollateralschäden, wenn Drucker nicht mehr ansprechbar sind, Scanner nicht mehr auf Freigaben zugreifen können oder andere Peripherie nicht mehr tut.

@adf: Nach bisherigen Kenntnissen erfolgend die initialen Angriffe über Sicherheitlücken in SMBv1 (sowie in einigen Fällen über einen kompromittierten Updater). Aber in Unternehmensnetzwerken werden ausgefeilte Methoden von der Schadsoftware genutzt, um sich zu verbreiten. Gelingt es der Ransomware, Credetials eines anderen Rechners zu ergattern, hilft auch kein SMBv1-Patch.

Neues zur Petya Ransomware ? Killswitch gefunden? | Borns IT- und Windows-Blog
 

black14987

nicht mehr wegzudenken
Und genau deswegen finde ich es wichtig, dass man den Nutzern erzählt das Sie mindestens genauso viel für die Sicherheit der Systeme tun können, wie der Sys-admin.
Die Medien gehen hier leider viel zu wenig drauf ein. Hauptsache das System ist gepatcht und der Virenscanner ist aktiv.
Das reicht aber idR leider nicht mehr aus. Die Nutzer müssen ein Bewusstsein dafür entwickeln, das Sie es mit in der Hand haben. Aber wenn ich der Berichterstattung Glauben schenken darf, dann liegt es ganz alleine an den blöden Admins (die zugegebener Maßen auch das mitverantworten).
 

Setter

gehört zum Inventar
Nach aktuellen Stand laut Artikel von BornsIT, war es wohl menschliches Versagen weil man ein Zertifikat vergessen hatte. Fehler passieren auch den Besten einmal. Bei dieser Tragweite möchte ich aber nicht in dessen Haut stecken.

Wie deaktiviert man den SMBv1 Protokol
Systemsteuerung - Programme / Windows Futures - da kann man dann einen Haken entfernen.

4014206_en_1

https://kbdevstorage1.blob.core.windows.net/asset-blobs/4014206_en_1

https://support.microsoft.com/de-de...-smbv1-smbv2-and-smbv3-in-windows-and-windows
 

Uriel_67

kennt sich schon aus
Setter schrieb:
Nach aktuellen Stand laut Artikel von BornsIT, war es wohl menschliches Versagen weil man ein Zertifikat vergessen hatte. Fehler passieren auch den Besten einmal. Bei dieser Tragweite möchte ich aber nicht in dessen Haut stecken.


Systemsteuerung - Programme / Windows Futures - da kann man dann einen Haken entfernen.

4014206_en_1

Dankeschön!
 

build10240

gehört zum Inventar
@Setter: Mein aktueller Stand ist: Bei Home und Pro wird SMB1-Server mit dem Update entfernt, der Client bleibt erhalten. Aus Enterprise und Education fliegt es komplett raus.
D.h. ich könnte mit Version 1709 weiterhin auf SMB1-Freigaben auf anderen Rechnern zugreifen? Was deaktiviere ich dann momentan in den Windows-Features bei "Unterstützung für SMB 1.0/CIFS-Dateifreigabe"? Wenn ich das bei Home oder Pro deaktiviere, kann ich nicht mehr auf SMB1-Freigaben von z.B. der Fritzbox zugreifen. Ob man mit SMB1 noch auf diesen Rechner zugreifen kann, kann ich leider nicht testen.

unseres Wissens (also die Infos kommen aus unserer Entwicklerabteilung) befällt diese Ransomware auch gepatchte Systeme. Es ist wohl auch so, dass Systeme infiltriert werden können, selbst wenn Windows noch nicht geladen ist.
Über welche Wege? Ist das eine Lücke in Windows oder in der Firmware? Ist eventuell die Intel Management Engine betroffen?
 

Reimund

treuer Stammgast
Mal ne blöde Frage: werden bei einem befallenen System auch USB-Sticks, sie sich im USB-Port befinden, verschlüsselt?
 

Setter

gehört zum Inventar
deaktiviere, kann ich nicht mehr auf SMB1-Freigaben von z.B. der Fritzbox zugreifen. Ob man mit SMB1 noch auf diesen Rechner zugreifen kann, kann ich leider nicht testen.
Der Fritz mal wieder. Die Speedports sind m.E. auch betroffen.
Andere Rechner sollte gehen, wenn es sich um aktuelle Systeme (V) 7-10 handelt.
Vor kurzem hatte ich eine Sammlung gesehen, bei der betroffen Systeme aufgelistet sind.

Ah hier: https://blogs.technet.microsoft.com/filecab/2017/06/01/smb1-product-clearinghouse/

@Reimund
es gibt da keine dummen Fragen- Prinzipiell kann jeder angebundene Datenträger betroffen sein. Man muss davon ausgehen - auf alles was der Nutzer zugreifen kann, kann auch einer "Bösewicht" zugreifen. Das betrifft USB-Datenträger genauso wie die interne HDD/SSD aber auch Heim -NAS-Server.
Hier kann es evtl. helfen die Schreibrechte zu entziehen und nur auf Lesen zu setzen (kann, nicht muss)
 

build10240

gehört zum Inventar
Hier kann es evtl. helfen die Schreibrechte zu entziehen und nur auf Lesen zu setzen (kann, nicht muss)
Bei dem Entwicklungstempo der Ransowware wird aus dem "kann" ziemlich schnell ein "nicht muss". Man wird künftig davon ausgehen müssen, daß jeder irgendwie erreichbare Datenspeicher Opfer einer Ransomware werden könnte. Alle Aktionen, die ein Nutzer ausführen kann, kann auch eine Malware nachmachen, insbesondere eine, die sich höchste Rechte erschleichen konnte. Passwörter helfen nur bedingt, denn die könnte eine Malware bei der Eingabe abgreifen oder die Passwörter sind nur schlampig abgesichert gespeichert.

Der Fritz mal wieder. Die Speedports sind m.E. auch betroffen.
AVM behauptet ja von Sambacry nicht betroffen zu sein, obwohl die Box für ihre Freigaben nur SMB1 anbietet. Die Speedports sind überwiegend bzw. die neuen Modelle überhaupt nicht mehr von AVM. Ich hab's jetzt auf allen Rechnern deaktiviert, muß der Nutzer eben über die Weboberfläche auf die Inhalte im NAS zugreifen.
 

wori

gehört zum Inventar
Interessant, dass es andere aber ganz anders einschätzen:


Quelle: Petya Ransomware Spreading Rapidly Worldwide, Just Like WannaCry

Für mich liest sich das so wenn du das Ding auf einer Kiste im Netz einfängst du dir gleich den Kopfschuss geben kannst. Somit frage ich mich echt: was stimmt denn nun?! Fully Patched= ok? oder ist man doch angreifbar?

Gruss

Wenn eine Malware auf einem Rechner die Rechte zum Ausführen von Administratorentools erlangt, ist es vollkommen egal ob das System gepatch ist oder Windows oder Linux oder AIX heißt.
Die Malware hat dann Adminrechte.
Bei psexec kommt noch hinzu, das man eine Passwort braucht um damit auf entfernte Rechner zu kommen.
Bei der Kombi Passort(e) und Adminrechte gibt es keinen Schutz.

@build10240
Die Malware wurde über den Updater von medoc auf ein System gebracht und hat sowie ich das sehe über den Updateprozesss mit dessen Rechten Rechner infiziert. übernommen. Dann im nächsten Schritt sich per SMBv1 Lücke verbreitet und daneben über wmi/psexec Rechner "konfiguriert".
Der Updateprozess war vermutlich mit Adminrechten ausgestattet.
 
Oben