![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Es gibt neue Informationen zur Ransomware WannyCry. So wurden modifizierte Versionen gesichtet und es gibt neue Erkenntnisse. Hier ein kurzer Abriss. <\/p>\nEs gibt neue Informationen zur Ransomware WannyCry. So wurden modifizierte Versionen gesichtet und es gibt neue Erkenntnisse. Hier ein kurzer Abriss. <\/p>\n
<\/p>\n
Freitag und am Wochenende hat die Ransomware WannyCry, WannaCrypt oder wie man diese nennen mag ja sowohl Administratoren als auch Medien in Atem gehalten. K\u00f6nnte nur eine kurze Atempause gewesen sein.<\/p>\n
Die erste Version der Ransomware war ja mit einem Kill-Switch im Code versehen, um die Verbreitung irgendwann stoppen zu k\u00f6nnen. Nur dem Zufallsfund eines Sicherheitsforschers ist es zu verdanken, dass die Ausbreitung dieser Version sehr fr\u00fchzeitig gestoppt werden konnte. Trotzdem waren Hundertausende System befallen.<\/p>\n
Bei Spiegel Online hatte ich einen vagen Hinweis auf eine neue Variante gelesen und hier im Blog ist ein entsprechender Kommentar. Aber Details lagen mir keine vor. Bei hackernews gibt es seit Samstag diesen Artikel<\/a>, der sich auf mehrere Sicherheitsforscher bezieht, die Varianten des Erpressungstrojaners ohne Kill-Switch oder mit abweichenden Domainnamen gefunden haben wollen. In diesem Blog-Beitrag<\/a> von heute gibt Matt Suiche Details an. Er beschreibt zwei neue Varianten des Trojaners. <\/p>\n Allerdings gibt es von Costin Raiu (Kaspersky) diesen Tweet<\/a>, in dem er angibt, dass alle von ihm analysierten Varianten einen Kill-Switch enthalten und er seine erste Aussage korrigiere. <\/li>\n<\/ul>\n Der Blog-Beitrag enth\u00e4lt weitere spannende Details zu den Interna. Auch bei HackerNews findet sich dieser<\/a> (etwas vagere) Beitrag. Es ist davon auszugehen, dass wird noch einiges zum Thema h\u00f6ren werden.<\/p>\n Das spanische Computer Emergency Response Team, CCN-CERT, hat ein Tool<\/a> bereitgestellt, welches die weitere Infektion von Maschinen im Netzwerk durch WannaCry verhindern soll. Leider ist ein Teil der Beschreibungen in den Readme nur in Spanisch \u2013 eine Batchdatei steht auch in Englisch zur Verf\u00fcgung. Im Google Chrome erscheint aber eine Warnung beim Download, dass Dateien diesen Typs Sch\u00e4den anrichten k\u00f6nnen. Zudem werden wohl auch .exe-Dateien angeboten. <\/p>\n Administratoren sollten auf ihren Maschinen SMBv1 deaktivieren, da der Trojaner dessen Sicherheitsl\u00fccke ausnutzt. Wie das geht, hat Microsoft hier beschrieben<\/a>. <\/p>\n Mich haben Hinweise erreicht, dass man sich wundert, dass der Sch\u00e4dling sich verbreiten konnte. Hier ein Textausriss:<\/p>\n was mich wundert: Es muss doch Port 445 offen sein? Und das ist er default ja nicht, bei mir in W10 Enterprise (CBB) ist er wohl zu. Haben die Opfer dann die Freigabe offen gehabt? Bisher h\u00f6rt man ja auch meistens von Firmen die es traf und nicht Enduser (die da eher nicht dran was \u00e4ndern). Ob die Rechner den Port 445 offen hatten, entzieht sich meiner Kenntnis. Aber es gibt mehrere Angriffswege \u2013 einen hat heise.de in einem Nebensatz erw\u00e4hnt (die Deutsche Bahn hat wohl der Redaktion einen Phishing-Angriff best\u00e4tigt). Bei ivanti.com gibt es diesen interessanten Beitrag vom 13. Mai 2017, der noch ein wenig auf das Thema eingeht. Auch Microsoft hat diesen Technet-Blog-Beitrag<\/a> online gestellt. <\/p>\n Generell sollen wohl \u00fcber 200.000 Systeme befallen worden sein. Im Tracker<\/a> werden aber nur noch wenige Systeme aufgef\u00fchrt (der Rest ist offline). Finanziell hat es sich f\u00fcr den Entwickler des Trojaners wohl (noch) nicht gelohnt. Aktuell habe ich eben die Zahl von ca. 30.000 Euro an Bitcoins gelesen, die geflossen sein sollen. Und ein Sicherheitsanalyst, der einen Honeypot aufgesetzt hatte, konnte 6 Infektionen binnen 1,5 Stunden feststellen. <\/p>\n Here is a video showing a machine on the left infected with MS17-010 worm, spreading WCry ransomware to machine on the right in real time. pic.twitter.com\/cOIC06Wygf<\/a><\/p>\n \u2014 Hacker Fantastic (@hackerfantastic) 13. Mai 2017<\/a><\/p><\/blockquote>\n\n
Tool zum Blocken<\/h3>\n
Angriffs- und Verbreitungsweg erkl\u00e4rt<\/h3>\n
\n
Schade dass zu diesem Aspekt kaum was zu lesen war, das mit dem Port sah ich bei Malwarebytes.
F\u00fcr mich ist eine wichtige Regel dass meine Rechner das Profil \"\u00f6ffentliches Netzwerk\" bekommen, im B\u00fcro und zuhause, dann ist schonmal einiges zu. Daten sind immer auf der externen Platte und Backups laden auch auf solchen.<\/p>\n<\/blockquote>\nWeitere Informationen<\/h3>\n
\n