Jump to content
Schulte

KL-Kommentar zum WannaCry Angriff

Recommended Posts

Kravtsov Vitaly, einer unserer Admins, hat einen Kommentar zum WannaCry Angriff gepostet: https://forum.kaspersky.com/index.php?showtopic=370234

 

Nachfolgend eine freie Übersetzung:

 

Am 12. Mai wurde ein massiver Ransomware-Angriff gestartet, der auf Firmen auf der ganzen Welt abzielt.

 

Die Analysten von Kaspersky Lab haben die Daten analysiert und können bestätigen, dass die Schutzsubsysteme des Unternehmens mindestens 45.000 Infektionsversuche in 74 Ländern, die meisten davon in Russland, erkannt haben.

 

Die Ransomware infiziert die Rechner durch die Ausnutzung einer Microsoft Windows-Schwachstelle, die im Microsoft Security Bulletin MS17-010 beschrieben und behoben wurde. Der benutzte Exploit, "Eternal Blue", wurde am 14. April im Shadowbrokers-Dump aufgedeckt.

 

Einmal in das System eingedrungen, installieren die Angreifer ein Rootkit. Dieses ermöglicht, Software zur Dateiverschlüsselung nachzuladen. Die Malware verschlüsselt dann die Dateien. Eine Forderung über $ 600 in Bitcoin wird zusammen mit dem Konto angezeigt - und die Lösegeldanforderung steigt mit der Zeit an.

 

Die Kaspersky Lab-Experten versuchen derzeit herauszufinden, ob es möglich ist, die beim Angriff gesperrten Daten zu entschlüsseln - mit dem Ziel, so schnell wie möglich ein Entschlüsselungswerkzeug zu entwickeln.

 

Kaspersky Lab Sicherheitslösungen erkennen die Malware, die bei diesem Angriff verwendet wird, unter folgenden Bezeichnungen:

 

• Trojan-Ransom.Win32.Scatter.uf

• Trojan-Ransom.Win32.Scatter.tr

• Trojan-Ransom.Win32.Fury.fr

• Trojan-Ransom.Win32.Gen.djd

• Trojan-Ransom.Win32.Wanna.b

• Trojan-Ransom.Win32.Wanna.c

• Trojan-Ransom.Win32.Wanna.d

• Trojan-Ransom.Win32.Wanna.f

• Trojan-Ransom.Win32.Zapchast.i

• Trojan.Win64.EquationDrug.gen

• Trojan.Win32.Generic (wenn der Aktivitätsmonitor aktiviert ist)

 

Wir empfehlen, folgende Maßnahmen zu ergreifen, um das Infektionsrisiko zu reduzieren:

 

• Installiere den offiziellen Patch von Microsoft, der die im Angriff verwendete Schwachstelle schließt

• Stelle sicher, dass die Sicherheitskomponenten aller Netzwerkknoten eingeschaltet sind

• Wenn eine Lösung von Kaspersky Lab verwendet wird, stelle sicher, dass es den Aktivitätsmonitor, eine verhaltensbezogene proaktive Erkennungskomponente, enthält und dass dieser eingeschaltet ist

• Führe den Rootkit-Scan aus, um eine mögliche Infektion so schnell wie möglich zu erkennen (falls nicht deaktiviert, wird er nach spätestens 24 Stunden automatisch durchgeführt).

• Starte das System neu, falls MEM:Trojan.Win64.EquationDrug.gen erkannt wurde

 

Eine detaillierte Beschreibung der WannaCry-Angriffsmethode und Indikatoren einer Infektion sind im Blogpost auf Securelist zu finden.

Share this post


Link to post

Die Frage, die sich mir in diesem Zusammenhang stellt, ist, was wohl passiert, wenn eine zukünftige Ransomware so programmiert ist, dass sie erst nach Tagen oder Wochen ihr zerstörerisches Werk entfaltet? Die ganzen Backups laufen dann millionenfach ins Leere.

Share this post


Link to post

Deswegen ist es auch sinnvoller mehrere Backupversionen zu haben, die einen größeren Zeitraum als paar Wochen abdecken...

 

Je länger Ransom- oder Malware auf dem PC schläft, desto höher ist aber auch die Warscheinlichkeit, bei Aktivierung entdeckt zu werden. Die Frage ist ja dabei auch, wie lange die Täter, die diesen Schädling ausgesetzt haben, unerkannt bleiben können, damit bei Aktivierung die Lösegeldforderung auch bei dem Empfänger ankommt. Bringt ja nix, wenn die Täter entdeckt werden, weil deren Software zu lange auf den PC´s unaktiviert lag.

 

Bei einem Angriff wo auch ein Empfänger im Spiel ist, spielt der Zeitfaktor sicher eine große Rolle.

 

Wenn Systeme von großen Unternehmen oder Orgainsationen komprimitiert werden, um an Daten zu kommen oder Funktionen zu manipulieren, handelt es sich ja meist um einen Angriff der Monate oder sogar Jahre gedauert hat, damit der Trojaner unerkannt bleibt. Aber diese sind ja dann auch speziell für das eine System geschrieben wurden. Schadsoftware die zum Ziel hat, Millionen Rechner zu infizieren, wird in den meisten Fällen nach wenigen Tagen unschädlich gemacht (Updates, neue Signaturen etc).

Share this post


Link to post

Danke für Deinen Beitrag.

 

....

• Führe den Rootkit-Scan aus, um eine mögliche Infektion so schnell wie möglich zu erkennen (falls nicht deaktiviert, wird er nach spätestens 24 Stunden automatisch durchgeführt).

....

 

Ich hatte die Rootkitsuche deaktiviert und jetzt wieder aktiviert. Kann man einen Root-Kit-Scan auch manuell starten? Ich vermute nicht.

Danke.

 

 

 

Share this post


Link to post

Den Rootkitscan kannst Du auch von Hand starten. Der Befehl

"C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.com" start scan_qscan /i9

startet die Untersuchung. Er gilt für KAV/KIS/KTS 2017 auf einem x64-Windows.

Du kannst ihn direkt in ein "DOS"-Fenster kopieren oder per Batch-Datei starten. Bitte die Anführungszeichen mitkopieren.

 

PS: Danke für die Blumen

Share this post


Link to post

Danke für die Details. Muss ich ausprobieren für mein System, habe zwar KTS und 2016 und ein 32bit System ;-)

 

Mein System ist sowieso nicht betroffen, da mein Windows bereits seit März gepatches war und überhaupt. Gruss

Share this post


Link to post

Moin Moin.

Mein Systeme sind Uptodate(es gibt keine Updates wenn ich suche) Win7 Kis 17(e).

Muss ich mit jetzt noch direkt Sorgen machen oder reicht das momentan.

Kein Links in Emails usw >>>>Brauchen wir nicht drüber sprechen das ist alles Klar. :rolleyes:

 

Danke Gruß Horst

Edited by HorstG

Share this post


Link to post
Die Frage, die sich mir in diesem Zusammenhang stellt, ist, was wohl passiert, wenn eine zukünftige Ransomware so programmiert ist, dass sie erst nach Tagen oder Wochen ihr zerstörerisches Werk entfaltet? Die ganzen Backups laufen dann millionenfach ins Leere.

nicht ganz: wenn die Schadsoftware ausgeführt wird, werden nur momentan verfügbare Dateien verschlüsselt. Daher ist es ratsam, das Backup-Medium nach der Sicherung vom Rechner zu trennen.

Das Schadprogramm selbst - auch wenn es sich in den Backup-Satz einschleicht - ist dort unschädlich.

NB: ich rede nur über systematische Dateien-Backups (z.B. 1 Mal täglich) , wenn es über ein Image oder Festplattenspiegelung ginge, würde deine Befürchtung begründet.

Edited by Rene-gad

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.