- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Was tun? Ransomware-Angriff "WannaCry"


Fünf konkrete Handlungsempfehlungen zur Ransomware "WannaCry"
Der WannaCry-Angriff ist jedoch noch nicht ausgestanden oder gar beendet, da zwar diese Welle durch den Kill-Switch beendet wurde, aber jederzeit eine neue Angriffswelle denselben Exploit ausnutzen kann

- Anzeigen -





Von Oliver Keizers, Regional Director DACH, Fidelis Cybersecurity

Der bekannt gewordene Ransomware-Angriff mit den Namen "WannaCry" hat nach Presseberichten nie zuvor dagewesenen Ausmaße an Geschwindigkeit und Verbreitung erreicht. Fünf konkrete Handlungsempfehlungen zur Ransomware "WannaCry"

1. Umgehend den Patch MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx) installieren. Wer noch Windows XP, Windows 8, oder Windows Server 2003 nutzt findet unter https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ weitere Informationen.

2. Auf der Firewall die TCP Ports 137, 139 und 445 und UDP Ports 137 und 138 blockieren, über welchen die Kommunikation mit den Backend Services des Schadcodes läuft.

3. Server Message Block (SMB) Deaktivieren: Folgen Sie den Anleitungen von Microsoft um SMB zu deaktivieren.
https://support.microsoft.com/en-in/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
4. Der Schadcode in der aktuellen Version hat einen Kill-Switch und lässt sich beenden durch eine URL-Abfrage auf: www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Eine neuere Version benutzt jedoch auch die URL www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Wer einen Proxy im Unternehmen einsetzt, muss sicherstellen, dass diese URLs erreichbar sind oder ein Redirect auf ein eigenes Sink-Hole mit einer validen Antwort auf eine Webanfrage einrichten. (Trittbrettfahrer haben mittlerweile auch Versionen ohne diesen Kill-Switch gehackt, so dass dies alleine nicht ausreichend ist.)

5. Der Schadcode kommuniziert mit seinen Command & Control Servern über das Tor Protokoll, welches deshalb am Perimeter unbedingt geblockt werden muss. Bisher bekannte C&C Server sind

a. cwwnhwhlz52ma.onion

b. gx7ekbenv2riucmf.onion

c. xxlvbrloxvriy2c5.onion

d. 57g7spgrzlojinas.onion

e. 76jdd2ir2embyv47.onion

Dass unbedingt die jeweiligen Updates für Anti-Virus und Anti-Ransomware Software eingespielt werden müssen, sollte nicht erwähnt werden müssen, sondern selbstverständlich sein. Auch eine funktionierende Backup-Strategie ist immer eine gute Sache.

Erkennungsmethoden für "WannaCry"
Prozesse des Schadcodes lassen sich durch geeignete Tools am Endpunkt erkennen, indem die folgenden vier Erkennungsmerkmale aktiviert werden:

a. Shadow Copy: delete
b. Persistence: File created in roaming startup folder.
c. Behavior: Process executed by cmd.exe /c start
d. Behavior: Filename with one character

Ebenso erstellt der Schadcode auf dem Endpunkt Registry Einträge, über welche er erkennbar ist:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\ = "\tasksche.exe”
HKLM\SOFTWARE\WanaCrypt0r\\wd = "”
HKCU\Control Panel\Desktop\Wallpaper: "\@WanaDecryptor@.bmp”

Es ist jedoch zu beachten, dass die Empfehlung die Ports zu blockieren nur vor dem SMB-Wurm schützen. Sollten Sie den Schadcode via E-Mail, einem böswilligen Torrent oder andere Angriffsvektoren außerhalb des SMB-Protokolls erhalten haben, so gilt zumindest die Aufforderung des Patches von Microsoft weiterhin und unbedingt.

Fidelis hat für Unternehmen entsprechende Yara-Regeln zur Erkennung verfügbar gemacht, welche unter der URL https://raw.githubusercontent.com/felmoltor/rules/5be0f43f2fca0b5ff0e385534da9a94c273c172f/malware/malw_ms17-010_wannacrypt.yar geladen werden können.

Der Angriff ist jedoch noch nicht ausgestanden oder gar beendet, da zwar diese Welle durch den Kill-Switch beendet wurde, aber jederzeit eine neue Angriffswelle denselben Exploit ausnutzen kann. Ohne die Umsetzung dieser Empfehlungen ist die Gefahr hoch, weiterhin für diese Sicherheitslücke verwundbar zu sein. (Fidelis Cybersecurity: ra)

eingetragen: 15.05.17

Fidelis Cybersecurity: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Einfallstore für Hacker schließen

    Der Cyber-Angriff durch den Krypto-Trojaner WannaCry belegt, dass nur ein zuverlässiges und vor allem zeitnahes Patch- und Versionsmanagement die Sicherheit der IT-Infrastruktur gewährleistet. DeskCenter Solutions AG warnt in diesem Zusammenhang eindringlich vor Quick Fixes: Unternehmen sollten jetzt nicht nur kurzfristige Maßnahmen zum Schutz vor dem WannaCry-Trojaner ergreifen, mahnt Christoph A. Harvey, Chief Excecutive Officer bei DeskCenter. Wesentlich effektiver, weil nachhaltiger, sei es, einen ganzheitlichen Schutz vor Ransomware zu etablieren, so Harvey. Sein Unternehmen, seit zehn Jahren mit entsprechenden Lösungen am Markt, hat hierzu unter einen Vier-Stufen-Check zum Download herausgegeben. Damit können IT-Verantwortliche systematisch prüfen, wie gut sie bereits vor Ransomware-Befall geschützt sind und welche Maßnahmen sie noch zusätzlich ergreifen sollten.

  • Windows wird am häufigsten angegriffen

    In beeindruckender Regelmäßigkeit sind immer wieder Schlagzeilen zu lesen, in denen Security-Software durch eigene Lücken und kritische Fehler für zusätzliche Risiken sorgen. Vor einigen Wochen sprach nun Robert O'Callahan, ehemaliger Mozilla-Entwickler, aus, was unter IT-Sicherheitsexperten längst heiß diskutiert wird: Er misstraut Antiviren-Software grundsätzlich und bezeichnet Antivirus-Lösungen sogar als "snake oil" oder "Schlangenöl". So werden Produkte bezeichnet, die entweder nur geringe oder gar keine Funktionen haben. Einzig Microsoft hätte nach Meinung O´Callahans mit Defender in Windows gute Arbeit geleistet.

  • Warnung vor gefälschten Kleinanzeigen

    Kleinanzeigenmärkte im Internet boomen, hier suchen Nutzer vermehrt nach gebrauchten Waren, einem Job oder einer Wohnung. Mit betrügerischen Angeboten wollen Kriminelle das ausnutzen: "Bei der Durchsicht von Online-Anzeigen sollte man aktuell besonders vorsichtig sein", sagt Peter Meyer, Leiter des Anti-Botnet-Beratungszentrums Botfrei im eco - Verband der Internetwirtschaft e. V. "Bösewichter mischen ihre gefälschten Anzeigen unter die echten mit dem Ziel, über Betrugsversuche an die Daten und das Geld der Nutzer zu gelangen." Scheinbar von den Seitenbetreibern unbehelligt breiten sich die falschen Anzeigen immer stärker aus. "Viele Geschädigte verzichten auf eine Anzeige bei der Polizei. Möglicherweise weil sie sich wenig Hoffnung machen, ihr Geld wieder zu bekommen", sagt Meyer. Doch nur wenn Geschädigte Anzeige erstatten haben Ermittlungsbehörden und Seitenbetreiber eine Chance, gegen die Betrüger vorzugehen.

  • So schaltet man WannaCrypt aus

    Seit dem Wochenende (12. Mai 2017) verbreitet sich weltweit eine aggressive Schadsoftware unter dem Namen "WannaCrypt". Aus aktuellem Anlass finden Sie nachfolgend Hintergrundinformationen des Anbieters für Sicherheitslösungen, Ivanti, zu dieser Form von Ransomware sowie Tipps, sich davor zu schützen. Es scheint sich hier um eine Variante von WanaDecryptor zu handeln, einer relativ neuen Form von Ransomware. Diese spezielle Ransomware wird von 30% der AV-Anbieter mit aktuellen Virendefinitionen korrekt identifiziert und blockiert. Aktuell ist kein allgemeiner Schlüssel für die Dekodierung (Crack-Code) verfügbar. Diese Malware verändert Dateien in den Verzeichnissen /Windows und /windows/system32 und infiziert weitere Benutzer im Netzwerk. Beide Aktionen erfordern Administratorrechte.

  • Was tun? Ransomware-Angriff "WannaCry"

    Der bekannt gewordene Ransomware-Angriff mit den Namen "WannaCry" hat nach Presseberichten nie zuvor dagewesenen Ausmaße an Geschwindigkeit und Verbreitung erreicht. Fünf konkrete Handlungsempfehlungen zur Ransomware "WannaCry"