WannaCrypt / wannacry - Seite 3

Seite 3 von 3 - Forum: Applications, Apps & Drivers auf overclockers.at

URL: https://www.overclockers.at/applications/wannacrypt-wannacry_248834/page_3 - zur Vollversion wechseln!

questionmarc schrieb am 16.05.2017 um 23:16

Zitat aus einem Post von Cobase
Sophos ändert Werbung als Reaktion auf WC:

https://www.heise.de/newsticker/mel...ng-3714943.html

Oops. :D


Saugeil jo :D
Aber sie hatten kein Intercept X im Einsatz, das hätts verhindert. Außerdem durften einige frei entscheiden was sie nutzen und was nicht wie ich erfahren hab. Eine Lösung ist halt immer nur so gut wie sie auch konfiguriert wird..

Edit: vid dazu:
https://youtu.be/agFgibQydzg

Hubman schrieb am 27.06.2017 um 20:16

Scheint ja schon wieder frischfröhlich loszugehen.

Bei meiner Freundin habens den ganzen Konzern abgedreht und alle nachhause geschickt. Ihre lokale Tochterfirma hatte zwar nichts, aber Konzernrichtlinien... (die haben ja auch so viel gebracht).

Lord Wyrm schrieb am 28.06.2017 um 00:04

Analyzing Post-WannaCry SMB Exposure

It's been a month since the WannaCry ransomware attack wrecked havoc across Windows networks via SMB and I'd like to take a moment to review where we're at today. Here are some numbers to kick things off: 2,306,820 SMB services available on the Internet at the moment 42%

Link: blog.shodan.io

questionmarc schrieb am 28.06.2017 um 08:31

wir sind ja sophos partner (seit astaro-zeiten) und haben grad die info bekommen über eine neue variante, die den mbr verschlüsselt:

New variant of Petya ransomware (also known as Petrwrap/Petyawrap)

Sophos is aware of a new ransomware variant being seen in multiple countries today. Our investigation shows that this attack both encrypts files and the Master...

Link: community.sophos.com

Smut schrieb am 28.06.2017 um 08:36

das ist eh die gleiche Schadsoftware.

Zusammenfassung:

‘Petya’ Ransomware Outbreak Goes Global — Krebs on Security

2 Bilder
Link: krebsonsecurity.com

als IV wird dieses Mal nicht nur Mail vermutet sondern auch ein kompromittierter Update-service einer ukrainischen softwarefirma für steuer(tax)-Software. Die Firma bestreitet dies aber. Jedoch gibt es 3x Quellen die das beobachtet/analysiert haben.

das ganze Thema ist vermutlich aufgrund dieses Update Services so rasant hochgekocht. Der Virus selbst war ein weniger aggressiver Wurm, seine potentielle Verbreitung war auf das subnetz des jeweiligen netzwerkinterfaces beschränkt. Dafür hatte er im besten Fall lokale Admin Rechte und konnte mittels lsasdump (mimikatz) credentials am System auslesen und dann das lateral movement per psexec/wmi fortsetzen und somit auch gepatchte Systeme lahmlegen. Der Einsatz von lsasdump kostet aber einiges an stealth-Punkten - sehr wahrscheinlich dass hier virenscanner anschlagen.

spunz schrieb am 30.06.2017 um 16:44

Kam über M.E.Doc, darum kommt man in der Ukraine nicht herum.

Smut schrieb am 30.06.2017 um 16:54

Laut MS waren 12,500 Infektionen anfangs in der Ukraine, dann weiter auf 63 andere Länder.

New ransomware, old techniques: Petya adds worm capabilities

(Note: We have published a follow-up blog entry on this ransomware attack. We have new findings from our continued investigation, as well as platform mitigation and protection information: Windows 10 platform resilience against the Petya ransomware attack.)   On June 27, 2017 reports of a ransomware infection began spreading across Europe. We saw the first infections in...

Link: blogs.technet.microsoft.com

Und hier noch Detail Analyse der malware
Carbon Black Threat Research Technical Analysis: Petya / NotPetya Ransomware - Carbon Black

On June 27, public announcements were made about a large-scale campaign of ransomware attacks across Europe. The ransomware impacted notable industries such as Maersk, the world’s largest container shipping company. The initial infection vector appears to be the exploitation of a Ukrainian tax software called MEDoc. The sample also spreads on the internal network via exploitation …

Link: www.carbonblack.com

Rogaahl schrieb am 03.07.2017 um 00:35

Exploring the crypt: Analysis of the WannaCrypt ransomware SMB exploit propagation

On May 12, there was a major outbreak of WannaCrypt ransomware. WannaCrypt directly borrowed exploit code from the ETERNALBLUE exploit and the DoublePulsar backdoor module leaked in April by a group calling itself Shadow Brokers. Using ETERNALBLUE, WannaCrypt propagated as a worm on older platforms, particularly Windows 7 and Windows Server 2008 systems that haven’t...

Link: blogs.technet.microsoft.com



overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025