WannaCrypt / wannacry

Seite 1 von 3 - Forum: Applications, Apps & Drivers auf overclockers.at

URL: https://www.overclockers.at/applications/wannacrypt-wannacry_248834/page_1 - zur Vollversion wechseln!

UnleashThebeast schrieb am 13.05.2017 um 10:35

WannaCry: Angriff mit Ransomware legt weltweit Zehntausende Rechner lahm

In ganz England hat ein Kryptotrojaner am Freitag zahlreiche Krankenhäuser lahmgelegt. Und das ist offenbar nur die Spitze des Eisbergs einer globalen Welle von Infektionen mit Wana Decrypt0r 2.0 oder einfach WannaCry.

Link: www.heise.de

- Jede Menge Krankenhäuser in England
- die Infoscreens der Deutschen Bahn
- FedEx auf einem "Enterprise Level" und die ganze IT steht bis Montag
- Russisches Innenministerium (!) und der größte Telco
- Universität in Milan

usw usf.
PWNED.

Virustotal sagt "ja ne alles gut mit dem File, gell?!" Link Heil Schlangenöl!

Ich bin mir sicher, dass es hier am Montag noch ein paar böse Überraschungen geben wird.

Smut schrieb am 13.05.2017 um 10:47

inital dürfte das ganze per mail/phising reinkommen, dagegen kann man sich nur schwer schützen in großen strukturen (mitarbeiter schulung etc).

@virustotal:
das ist zum ersten mal, dass so gut wie jeder relevante hersteller die file erkennt normal hast 4-5 scanner nach einer woche.

empfohlene maßnahmen:

smb services nicht ins internet freischalten (service-ports)
ms17-10 patchen: clients + server (alles mit smb + domaincontroller)
smbv1 deaktivieren! ~~ist standardmäßig ab server 2008 gar nicht mehr aktiv, wird aber oft aktiviert um kompatibilität zu winxp/server2k3 herzustellen~~

microsoft artikel zum thema, es wurden sogar updates für winxp/server2003 zur verfügung gestellt:
https://blogs.technet.microsoft.com...acrypt-attacks/

tanium artikel:
https://blog.tanium.com/wannacry-wc...anium-can-help/

alienvault IoCs (indicators of compromise) (IP listen + hashes + domains):
https://otx.alienvault.com/pulse/59...a2585b4feaf2f6/

UnleashThebeast schrieb am 13.05.2017 um 10:56

Zitat aus einem Post von Smut
@virustotal:
das ist zum ersten mal, dass so gut wie jeder relevante hersteller die file erkennt

Es hat aber KEINER erkannt, sieht man im Screenshot

//edit

OK, mittlerweile etwas besser
https://www.virustotal.com/en/file/...sis/1494622980/

Smut schrieb am 13.05.2017 um 11:05

AV ist reaktiv, das liegt in der natur der sache. wichtig ist, dass es sobald es erkannt wurde schnell die clients erreicht. heuristik funktioniert halt nur bedingt, wird meines wissens nach von virus total aber gar nicht beleuchtet, da es hier rein um signaturen geht. sprich, die aussage hinter dem screenshot bedeutet nicht, dass keiner der AVs den ausbruch verhhindert hätte!
wer glaubt, dass AV gegen gänzlich unbekannte applikationen schützen kann, hat das konzept dahinter nicht verstanden und wird damit immer unglücklich sein. aktuell ist man aber wieder besser dran wenn man einen AV draußen hat, als man hätte keinen. muss jede person bzw. unternehmen aber für sich entscheiden ob und welcher AV eingesetzt wird oder eben nicht.

UnleashThebeast schrieb am 13.05.2017 um 11:41

Zitat aus einem Post von Smut
AV ist reaktiv, das liegt in der natur der sache. wichtig ist, dass es sobald es erkannt wurde schnell die clients erreicht.

Der Exploit kommt aus dem Shadowbrokers-dump von Mitte April. Ein Monat Zeit um sowas in Schlangenöl-Signaturen einzubauen reicht nicht? top kek.

Zitat aus einem Post von Smut
aktuell ist man aber wieder besser dran wenn man einen AV draußen hat, als man hätte keinen.

Das klingt für mich nach typischen Apologeten-Talk, sorry. "Wenn dir wer in den kopf schiesst, ist es trotzdem besser, wenn du eine Weste anhast! So kann er dir wenigstens nicht in die Brust auch noch schiessen!" what?

btw:

'Accidental hero' finds kill switch to stop spread of ransomware cyber-attack

Spread of malware curtailed by expert who simply registered a domain name for a few dollars, giving many across world time to protect against attack

Link: www.theguardian.com

Find ich geil. Unregistrierter Domainname als Killswitch. dafuq?

Und weil man mit Schlangenöl soviel besser dran ist als ohne, blockt das Schlangenöl mal direkt den Zugriff auf den Killswitch.
https://mobile.twitter.com/GossiThe...5710977/photo/1

nice.

Dreamforcer schrieb am 13.05.2017 um 12:16

ich glaub ich nehm nächtste woche urlaub, mir schauerts schon ein wenig

NeM schrieb am 13.05.2017 um 12:24

Zitat
Das klingt für mich nach typischen Apologeten-Talk, sorry. "Wenn dir wer in den kopf schiesst, ist es trotzdem besser, wenn du eine Weste anhast! So kann er dir wenigstens nicht in die Brust auch noch schiessen!" what?

Und weil man mit Schlangenöl soviel besser dran ist als ohne, blockt das Schlangenöl mal direkt den Zugriff auf den Killswitch.

Sei ma ned bös, aber was du verzapfst.....

Smut schrieb am 13.05.2017 um 12:44

Zitat aus einem Post von Smut
smbv1 deaktivieren! ~~ist standardmäßig ab server 2008 gar nicht mehr aktiv, wird aber oft aktiviert um kompatibilität zu winxp/server2k3 herzustellen~~

weiß das zufällig jemand? war der annahme smbv1 wäre im server-mode gar nicht aktiv. hab mir gereade aber 2x sauber installierte server angsehen, und da war es aktiv (server 2012, server 2012R2).

@unleash: sorry, ich verstehe nicht aufwas du mit deiner trollerei hinaus willst - mehr ist das nicht. offensichtlich fehlt dir etwas der praxisbezug bzw. liegt ein missverständnis bezüglich funktionsweise von AV scannern vor.

userohnenamen schrieb am 13.05.2017 um 12:49

8.3 ist deaktiviert ab 2012, v1 glaub ich nicht

Smut schrieb am 13.05.2017 um 13:03

dürfte auch noch beim 2016er default aktiv sein. oh mann

Stop using SMB1

The official blog of the Windows Server storage engineering teams

Link: blogs.technet.microsoft.com

UnleashThebeast schrieb am 13.05.2017 um 17:58

Zitat aus einem Post von Smut
@unleash: sorry, ich verstehe nicht aufwas du mit deiner trollerei hinaus willst - mehr ist das nicht. offensichtlich fehlt dir etwas der praxisbezug bzw. liegt ein missverständnis bezüglich funktionsweise von AV scannern vor.

Dann erklärs mir bitte. Du sagst, man ist mit Schlangenöl besser dran als ohne. Aber dann erkennt das Schlangenöl ein Exploit nicht, welches seit einem Monat public ist. Is ja jetzt kein 0day. Also wo genau hat mir das tolle Schlangenöl da jetzt geholfen bzw wie bin ich damit besser dran??

wergor schrieb am 13.05.2017 um 18:14

Wie viele exploits wurden damals veröffentlicht?

Smut schrieb am 13.05.2017 um 18:24

Zitat aus einem Post von UnleashThebeast
Dann erklärs mir bitte. Du sagst, man ist mit Schlangenöl besser dran als ohne. Aber dann erkennt das Schlangenöl ein Exploit nicht, welches seit einem Monat public ist. Is ja jetzt kein 0day. Also wo genau hat mir das tolle Schlangenöl da jetzt geholfen bzw wie bin ich damit besser dran??

ich lass die Diskussion einfach bleiben. Macht keinen sinn mit dir sachlich und auf Inhaltsebene zu diskutieren, da du es ohnehin besser zu wissen scheinst.

NeM schrieb am 13.05.2017 um 19:38

Es is halt eben alles Schlangenöl und es gibt ein Problem mit dem eines davon nicht korrekt umgeht und damit ist das ganze komplett sinnlos.

Alles klar? Nein? Ich weiß, macht aber nix

Hansmaulwurf schrieb am 15.05.2017 um 09:38

Nur aus Interesse, hat die Linux Samba-Implementierung eine Version die es erzwingt? Up2date bin ich, aber bin mir bezüglich Protokoll-Version nicht sicher.
Ich hab jetzt mal alles auf "min protocol = SMB2_02" gesetzt, aber nimmt samba selbst nicht automatisch die höchste verfügbare Version (also die auf Client+Host verfügbar ist) ?