WannaCrypt Gegenmaßnahmen von Microsoft veröffentlicht

Seit einigen Tagen gibt es weltweite Cyberangriffe von WannaCrypt einer Ransomware, die auch nicht vor Anzeigetafeln der Bahn halt macht.  Der User wird aufgefordert 300€ zu zahlen, um sich wieder frei zu kaufen. 

Microsoft hat diesbezüglich schnell reagiert und mehrere Blogbeiträge mit direkten Links zu Downloads veröffentlicht. Die ausgenutzte Lücke wurde zwar bereits im Security Patch aus dem März 2017 geschlossen, aber dies zeigt, dass viele Unternehmen und auch Nutzer ihre Updates nicht regelmäßig machen.

Es ist eben ein Wettrennen zwischen Crackern und Herstellern von Software. Wir haben euch die wichtigsten Informationen zusammengestellt:

Also was solltet ihr tun: 

Prüfen, ob Updates für eurer Windows System zur Verfügung steht und diese schnellst möglichst nachholen. Wer die aktuellen (Security)-Updates eingespielt hat, ist geschützt. Dazu muss der Windoes Defender ebenfalls heute morgen ein neues Update bekommen haben.

 Das wichtige Security-Update, welches die genutzte Lücke schloss ist MS17-010:  https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Hinweis von Europol und der Polizei:
Europol, die Landeskriminalämter und die Polizei bitten euch, wenn ihr betroffen seid, dies zur Anzeige zu bringen und Europol, das LKA oder zumindest die Polizei in Kenntnis zu setzen.

Das BSI bittet zusätzlich bei Unternehmen sich über die Pressemitteilung zu informieren und die üblichen Wege zu gehen, um Hilfe zu bekommen. 

Europol: https://www.europol.europa.eu/newsroom/news/wannacry-ransomware-recent-cyber-attack

BSI Pressemitteilung: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/PM_WannaCry_13052017.html

 

Wie finde ich heraus, ob ich den Security-Patch installiert habe? (Windows 10)

Es ist relativ einfach herauszufinden, ob ihr den erforderlichen Security Patch schon installiert habt:

 -> Einstellungen -> Updates -> Updateverlauf

Update ersetzt das vorherige Update: KB3205383  
Informationen über die einzelnen Dateien findet ihr hier: 
Für ein frisches Update auf diese Version von Windows 10 braucht ihr für X86 52MB und für die X64 Version 1,080MB.

Microsoft Update Katalog: http://www.catalog.update.microsoft.com/Search.aspx?q=KB3210720

 

Analyse von Microsoft zu WannaCrypt

Das MSRC Team von Microsoft musste mit Schwerz feststellen, was heute passiert ist und haben sich direkt an die Analyse von WannaCrpt gemacht. 

Erste Informationen erhaltet hier hier: 
https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/WannaCrypt

Von dieser Webseite stammt auch die Information, dass der Windows Defener AV, diese Gefahr erkennt und von eurem Rechner entfernt. 

Microsoft beschreibt WannaCrypt wie folgt: „Diese Ransomware hält euch davon ab euren PC zu nutzen und auf eure Daten zuzugreifen. Sie hat Wurm ähnliche Eigenschaften auf dem Ziel-PC, die eben nicht über die neusten Security-Updates verfügen. Wir erinnern sie daran so bald wie möglich den Security Patch MS17-010 zu installieren, wenn es nicht schon passiert ist.“

 Dabei handelt es sich unabhängig der nach Bennenung um zwei Versionen, wobei die zweite Version für die weltweite Infektion der Computernetze verantwortlich ist, so unser Kollege Gunter in seinem Blog.

 

genauere Analyse

Eine noch genauere Analyse findet ihr bei Malwarebytes Labs unter:
https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/

 

ältere Betriebssysteme

Microsoft hat auch für Produkte außerhalb des Supportes Lösungen bereitgestellt. Betroffen hier sind: Windows XP, Windows 8 und Windows Server 2003.

Die entsprechenden Security Bullits von Windows XP bis Windows 10 von Windows Server 2003 bis Windows Server 2016 findet ihr hier: 

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Downloadlinks:  Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

 

Kommentar von Raphael

Dieser weltweite Cyberangriff mit einer aus meiner Sicht wurmartigen Erpressersoftware zeigt wiedereinmal, wie wichtig es ist Security-Updates zu machen und wie lächerlich die Diskussion von „Zwangsupdates“ bei dem typischen User war und ist, der nicht wie ein professioneller IT-Administrator über Kenntnisse und Werkzeuge verfügt Updates korrekt ihrer Erheblichkeit einzuschätzen. Das Letzteres auch nicht einwandfrei funktioniert zeigt, dass auch bei der Bahn und vielen anderen Unternehmen Screenhots aufgetaucht sind, dass diese von WannaCrypt befallen sind. 

Einen schönen Artikel zum Werkzeug Windows 10 ATP von Milan (MSFT) findet ihr zum Thema Ransomware hier: https://blogs.technet.microsoft.com/windowsfurunternehmen/2017/02/07/windows-defender-atp-ransomware-epidemien-in-unternehmensnetzwerken-verhindern/

 

Links: (englisch)

Customer Guidance for WannaCrypt attacks

https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/WannaCrypt

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

 

Changelog: 
14.05: Ergänzung der Mitteilungen der Polizei, des BSI und Europol.

 

Schreibe einen Kommentar