Anzeige
Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Artikel: Petya: Microsoft analysiert die neue Ransomware-Attacke
- Ersteller Martin
- Erstellt am
Anzeige
Mit dem Fall Creators Update wir dieses Protokoll ja dann standardmäßig deaktiviert bzw. die Unterstützung wird komplett entfernt.
Hast du da neue Informationen zu? Mein Kenntnisstand ist lediglich der, das bei neuer Installation SMB1 per default deaktiviert ist. Was nicht zwingend bedeutet, das nach einem Upgrade auch der Fall ist.
black14987
gehört zum Inventar
Es ist übrigens nicht richtig das der Trojaner nur auf die Sicherheitslücke zielt.
Der erste Angriffsvektor ist offenbar eine Email mit Link. Haben wir zumindest in den letzten Tagen viele rausfischen können. Teilweise echt gut gemacht.
Der erste Angriffsvektor ist offenbar eine Email mit Link. Haben wir zumindest in den letzten Tagen viele rausfischen können. Teilweise echt gut gemacht.
Interessant, dass es andere aber ganz anders einschätzen:
Für mich liest sich das so wenn du das Ding auf einer Kiste im Netz einfängst du dir gleich den Kopfschuss geben kannst. Somit frage ich mich echt: was stimmt denn nun?! Fully Patched= ok? oder ist man doch angreifbar?
Gruss
Quelle: Petya Ransomware Spreading Rapidly Worldwide, Just Like WannaCrySince*Petya Ransomware is also taking advantage of WMIC and PSEXEC tools to infect fully-patched Windows computers, you are also advised to disable WMIC (Windows Management Instrumentation Command-line).
Für mich liest sich das so wenn du das Ding auf einer Kiste im Netz einfängst du dir gleich den Kopfschuss geben kannst. Somit frage ich mich echt: was stimmt denn nun?! Fully Patched= ok? oder ist man doch angreifbar?
Gruss
black14987
gehört zum Inventar
Wenn ich das richtig sehe, dann muss ein Rechner hinter der Firewall sich das Ding einfangen. In einem nicht geschotteten Netz, kann der Virus dann einfach alle Netzwerkgeräte versuchen zu infizieren.
Aber die Initialzündung muss über eine Infizierte Webseite oder eine E-Mail oder was ähnliches kommen. Wir sind selbst verschont, konnten aber die letzten Tage ein hohes aufkommen an Emails mit fragwürdigen Links feststellen.
Aber die Initialzündung muss über eine Infizierte Webseite oder eine E-Mail oder was ähnliches kommen. Wir sind selbst verschont, konnten aber die letzten Tage ein hohes aufkommen an Emails mit fragwürdigen Links feststellen.
Ulrike Riess
Herzlich willkommen
Hi zusammen,
unseres Wissens (also die Infos kommen aus unserer Entwicklerabteilung) befällt diese Ransomware auch gepatchte Systeme. Es ist wohl auch so, dass Systeme infiltriert werden können, selbst wenn Windows noch nicht geladen ist.Zudem klaut die Malware die Anmeldedaten des infizierten Rechners und befällt dann andere Systeme (bzw. versucht es).
Es zeigt sich einfach, das Ransomware aggressiver und schneller wird. Ich finde es zudem bedenklich, das hier offensichtlich die IT-Stratgeien großer Unternehmen kläglich versagen. lernkurve scheint gegen Null zu tendieren. Da muss was passieren, denn hier war eben nicht irgend ein dummer Enduser das Problem.
Viele Grüße, Euer Acronis-Team
unseres Wissens (also die Infos kommen aus unserer Entwicklerabteilung) befällt diese Ransomware auch gepatchte Systeme. Es ist wohl auch so, dass Systeme infiltriert werden können, selbst wenn Windows noch nicht geladen ist.Zudem klaut die Malware die Anmeldedaten des infizierten Rechners und befällt dann andere Systeme (bzw. versucht es).
Es zeigt sich einfach, das Ransomware aggressiver und schneller wird. Ich finde es zudem bedenklich, das hier offensichtlich die IT-Stratgeien großer Unternehmen kläglich versagen. lernkurve scheint gegen Null zu tendieren. Da muss was passieren, denn hier war eben nicht irgend ein dummer Enduser das Problem.
Viele Grüße, Euer Acronis-Team
Das ist richtig! "oder was ähnliches" ist der springende Punkt.Aber die Initialzündung muss über eine Infizierte Webseite oder eine E-Mail oder was ähnliches kommen
Ich erinnere jetzt mal an den Windows S Hack. Auch wenn er, ohne es abwertet zu meinen, eher die Qualität des manuelles Virus /format c: hat, zeigt er ganz deutlich einen Schwachpunkt auf den man nicht so einfach auf die Schulter nehmen sollte. Nämlich das ausführen von Dateien aus einer vertrauenswürdigen Quelle.
Hier ist es Firmen angeraten ihre Sicherheitsrichtlinien auf mögliche Schwachstellen abzuklopfen, Mitarbeiter Informationen zu geben und evt. den Dokumentenschutz zu überprüfen gegebenenfalls zu überarbeiten.
Edit:
Auweia
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/PM_petya_global_27062017.htmlIn internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind.
Ich rate zum Universallwerkzeug zum kappen der Leitung
Zuletzt bearbeitet:
Die Deaktivierung von SMBv1 ist auf einem privaten Rechner sicher kein Problem. In Unternehmen gibt es imho aber erhebliche Kollateralschäden, wenn Drucker nicht mehr ansprechbar sind, Scanner nicht mehr auf Freigaben zugreifen können oder andere Peripherie nicht mehr tut.
@adf: Nach bisherigen Kenntnissen erfolgend die initialen Angriffe über Sicherheitlücken in SMBv1 (sowie in einigen Fällen über einen kompromittierten Updater). Aber in Unternehmensnetzwerken werden ausgefeilte Methoden von der Schadsoftware genutzt, um sich zu verbreiten. Gelingt es der Ransomware, Credetials eines anderen Rechners zu ergattern, hilft auch kein SMBv1-Patch.
Neues zur Petya Ransomware ? Killswitch gefunden? | Borns IT- und Windows-Blog
@adf: Nach bisherigen Kenntnissen erfolgend die initialen Angriffe über Sicherheitlücken in SMBv1 (sowie in einigen Fällen über einen kompromittierten Updater). Aber in Unternehmensnetzwerken werden ausgefeilte Methoden von der Schadsoftware genutzt, um sich zu verbreiten. Gelingt es der Ransomware, Credetials eines anderen Rechners zu ergattern, hilft auch kein SMBv1-Patch.
Neues zur Petya Ransomware ? Killswitch gefunden? | Borns IT- und Windows-Blog
black14987
gehört zum Inventar
Und genau deswegen finde ich es wichtig, dass man den Nutzern erzählt das Sie mindestens genauso viel für die Sicherheit der Systeme tun können, wie der Sys-admin.
Die Medien gehen hier leider viel zu wenig drauf ein. Hauptsache das System ist gepatcht und der Virenscanner ist aktiv.
Das reicht aber idR leider nicht mehr aus. Die Nutzer müssen ein Bewusstsein dafür entwickeln, das Sie es mit in der Hand haben. Aber wenn ich der Berichterstattung Glauben schenken darf, dann liegt es ganz alleine an den blöden Admins (die zugegebener Maßen auch das mitverantworten).
Die Medien gehen hier leider viel zu wenig drauf ein. Hauptsache das System ist gepatcht und der Virenscanner ist aktiv.
Das reicht aber idR leider nicht mehr aus. Die Nutzer müssen ein Bewusstsein dafür entwickeln, das Sie es mit in der Hand haben. Aber wenn ich der Berichterstattung Glauben schenken darf, dann liegt es ganz alleine an den blöden Admins (die zugegebener Maßen auch das mitverantworten).
Nach aktuellen Stand laut Artikel von BornsIT, war es wohl menschliches Versagen weil man ein Zertifikat vergessen hatte. Fehler passieren auch den Besten einmal. Bei dieser Tragweite möchte ich aber nicht in dessen Haut stecken.
https://kbdevstorage1.blob.core.windows.net/asset-blobs/4014206_en_1
https://support.microsoft.com/de-de...-smbv1-smbv2-and-smbv3-in-windows-and-windows
Systemsteuerung - Programme / Windows Futures - da kann man dann einen Haken entfernen.Wie deaktiviert man den SMBv1 Protokol
https://kbdevstorage1.blob.core.windows.net/asset-blobs/4014206_en_1
https://support.microsoft.com/de-de...-smbv1-smbv2-and-smbv3-in-windows-and-windows
Setter schrieb:Nach aktuellen Stand laut Artikel von BornsIT, war es wohl menschliches Versagen weil man ein Zertifikat vergessen hatte. Fehler passieren auch den Besten einmal. Bei dieser Tragweite möchte ich aber nicht in dessen Haut stecken.
Systemsteuerung - Programme / Windows Futures - da kann man dann einen Haken entfernen.
Dankeschön!
build10240
gehört zum Inventar
D.h. ich könnte mit Version 1709 weiterhin auf SMB1-Freigaben auf anderen Rechnern zugreifen? Was deaktiviere ich dann momentan in den Windows-Features bei "Unterstützung für SMB 1.0/CIFS-Dateifreigabe"? Wenn ich das bei Home oder Pro deaktiviere, kann ich nicht mehr auf SMB1-Freigaben von z.B. der Fritzbox zugreifen. Ob man mit SMB1 noch auf diesen Rechner zugreifen kann, kann ich leider nicht testen.@Setter: Mein aktueller Stand ist: Bei Home und Pro wird SMB1-Server mit dem Update entfernt, der Client bleibt erhalten. Aus Enterprise und Education fliegt es komplett raus.
Über welche Wege? Ist das eine Lücke in Windows oder in der Firmware? Ist eventuell die Intel Management Engine betroffen?unseres Wissens (also die Infos kommen aus unserer Entwicklerabteilung) befällt diese Ransomware auch gepatchte Systeme. Es ist wohl auch so, dass Systeme infiltriert werden können, selbst wenn Windows noch nicht geladen ist.
Der Fritz mal wieder. Die Speedports sind m.E. auch betroffen.deaktiviere, kann ich nicht mehr auf SMB1-Freigaben von z.B. der Fritzbox zugreifen. Ob man mit SMB1 noch auf diesen Rechner zugreifen kann, kann ich leider nicht testen.
Andere Rechner sollte gehen, wenn es sich um aktuelle Systeme (V) 7-10 handelt.
Vor kurzem hatte ich eine Sammlung gesehen, bei der betroffen Systeme aufgelistet sind.
Ah hier: https://blogs.technet.microsoft.com/filecab/2017/06/01/smb1-product-clearinghouse/
@Reimund
es gibt da keine dummen Fragen- Prinzipiell kann jeder angebundene Datenträger betroffen sein. Man muss davon ausgehen - auf alles was der Nutzer zugreifen kann, kann auch einer "Bösewicht" zugreifen. Das betrifft USB-Datenträger genauso wie die interne HDD/SSD aber auch Heim -NAS-Server.
Hier kann es evtl. helfen die Schreibrechte zu entziehen und nur auf Lesen zu setzen (kann, nicht muss)
build10240
gehört zum Inventar
Bei dem Entwicklungstempo der Ransowware wird aus dem "kann" ziemlich schnell ein "nicht muss". Man wird künftig davon ausgehen müssen, daß jeder irgendwie erreichbare Datenspeicher Opfer einer Ransomware werden könnte. Alle Aktionen, die ein Nutzer ausführen kann, kann auch eine Malware nachmachen, insbesondere eine, die sich höchste Rechte erschleichen konnte. Passwörter helfen nur bedingt, denn die könnte eine Malware bei der Eingabe abgreifen oder die Passwörter sind nur schlampig abgesichert gespeichert.Hier kann es evtl. helfen die Schreibrechte zu entziehen und nur auf Lesen zu setzen (kann, nicht muss)
AVM behauptet ja von Sambacry nicht betroffen zu sein, obwohl die Box für ihre Freigaben nur SMB1 anbietet. Die Speedports sind überwiegend bzw. die neuen Modelle überhaupt nicht mehr von AVM. Ich hab's jetzt auf allen Rechnern deaktiviert, muß der Nutzer eben über die Weboberfläche auf die Inhalte im NAS zugreifen.Der Fritz mal wieder. Die Speedports sind m.E. auch betroffen.
Interessant, dass es andere aber ganz anders einschätzen:
Quelle: Petya Ransomware Spreading Rapidly Worldwide, Just Like WannaCry
Für mich liest sich das so wenn du das Ding auf einer Kiste im Netz einfängst du dir gleich den Kopfschuss geben kannst. Somit frage ich mich echt: was stimmt denn nun?! Fully Patched= ok? oder ist man doch angreifbar?
Gruss
Wenn eine Malware auf einem Rechner die Rechte zum Ausführen von Administratorentools erlangt, ist es vollkommen egal ob das System gepatch ist oder Windows oder Linux oder AIX heißt.
Die Malware hat dann Adminrechte.
Bei psexec kommt noch hinzu, das man eine Passwort braucht um damit auf entfernte Rechner zu kommen.
Bei der Kombi Passort(e) und Adminrechte gibt es keinen Schutz.
@build10240
Die Malware wurde über den Updater von medoc auf ein System gebracht und hat sowie ich das sehe über den Updateprozesss mit dessen Rechten Rechner infiziert. übernommen. Dann im nächsten Schritt sich per SMBv1 Lücke verbreitet und daneben über wmi/psexec Rechner "konfiguriert".
Der Updateprozess war vermutlich mit Adminrechten ausgestattet.
Anzeige