Nik Nik

2017-05-13 01:31:22 UTC

view on stackexchange narkive permalink

WannaCry-Angriffe werden mithilfe einer Sicherheitsanfälligkeit bezüglich SMBv1 Remotecodeausführung unter Microsoft Windows-Betriebssystemen ausgelöst. Der EternalBlue Exploit wurde am 14. März von Microsoft gepatcht und am 14. April 2017 über den "Shadowbrokers Dump" öffentlich zugänglich gemacht. Viele Unternehmen und öffentliche Organisationen haben den Patch jedoch noch nicht auf ihren Systemen installiert . Die Microsoft-Patches für ältere Windows-Versionen wurden letzte Woche nach dem Angriff veröffentlicht.

Wie kann eine WannaCry-Infektion verhindert werden?

Make Stellen Sie sicher, dass alle Hosts Endpoint-Anti-Malware-Lösungen aktiviert haben.
Installieren Sie den offiziellen Windows-Patch (MS17-010) https://technet.microsoft.com/de -us / library / security / ms17-010.aspx, wodurch die bei diesem Ransomware-Angriff verwendete SMB Server-Sicherheitsanfälligkeit geschlossen wird.
Scannen Sie alle Systeme. Starten Sie das System neu, nachdem Sie den Malware-Angriff als MEM: Trojan.Win64.EquationDrug.gen erkannt haben. Stellen Sie sicher, dass MS17-010-Patches installiert sind.
Sichern Sie alle wichtigen Daten auf einer externen Festplatte oder einem Cloud-Speicherdienst.

Weitere Informationen hier: https://malwareless.com/wannacry-ransomware-massively-attacks-computer-systems-world/

Moment mal - Sie sagten, "am 14. April 2017 über den Shadowbrokers-Dump öffentlich verfügbar gemacht und am 14. März von Microsoft gepatcht".Wurde es einen Monat * vor * der Veröffentlichung gepatcht oder haben Sie die Daten versehentlich gemischt?

@Dragomok Beachten Sie, dass es sich um den * Exploit * handelt, der einen Monat nach dem Patch veröffentlicht wurde.Das ist nicht so ungewöhnlich.Angesichts der Tatsache, wie viele Computer nicht auf dem neuesten Stand gehalten werden, besteht eine einfache Möglichkeit, ausnutzbare Fehler zu finden, darin, darauf zu warten, dass die Patches veröffentlicht werden.

Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/58852/discussion-on-answer-by-nik-nik-how-is-the-wannacry-malware-spreading-and-Wie).

Da dies derzeit die am höchsten bewertete Antwort ist und möglicherweise Personen auf dieser Site landen, die keine Netzwerkadministratoren sind, wäre es hilfreich, "Keine seltsamen Anhänge öffnen" anzugeben (möglicherweise mit einer kurzen Beschreibung, wie überprüft werden kann, ob es sich um einen Anhang handelteine ausführbare Datei, die als etwas anderes getarnt ist), da solche Dinge einige Angriffsmethoden für Personen sein können, die kein eigenes LAN haben, und auch die "Patientennull" für ein größeres Netzwerk sein können.

@Dragomok: Vermutlich hat TSB Microsoft vorab über das Problem informiert.Das Timing scheint es zu unterstützen.AFAIK das ist typisch für weiß / graue Hut-Hacker.

Ist der SMB-Fehler nicht nur ein Vektor?Ich hatte den Eindruck, dass es massenweise per E-Mail nach altmodischem Phishing verschickt wurde, sodass jeder seine Großmütter von der E-Mail fernhält.

@tomasz [Die NSA hat Microsoft vorab über das Problem informiert] (https://arstechnica.com/security/2017/05/fearing-shadow-brokers-leak-nsa-reported-critical-flaw-to-microsoft/) (nachdem EternalBlue durchgesickert war).

@DeanMacGregor: Warum sollten sie jetzt anfangen, ihre Großmütter fernzuhalten?Es ist nicht die erste und sicherlich nicht die letzte Ransomware, die herumschwirrt.Ich denke sowieso nicht, dass Großmütter besonders gute Ziele für Ransomware sind.

https://security.stackexchange.com/questions/155769/find-smbv1-status-with-nmap/158896#158896

dark_st3alth

2017-05-14 00:36:12 UTC

view on stackexchange narkive permalink

Die Ransomware verwendet einen bekannten, öffentlich bekannt gegebenen Exploit in SMBv1 (Server Message Block Version 1). Es handelt sich um ein Protokoll auf Anwendungsebene, das zum Freigeben von Dateien und Druckern in einer Netzwerkumgebung verwendet wird.

Das SMBv1-Protokoll wird häufig in Windows-Netzwerkumgebungen verwendet und umfasst Betriebssysteme wie Windows XP, Windows 7, 8, 8.1 und 10. Windows Vista und höher ermöglichen die Verwendung von SMBv1, obwohl sie die verbesserten Protokolle SMBv2 und v3 unterstützen.

Diese Umgebungen verwenden nicht die Implementierung von Microsoft Es ist unwahrscheinlich, dass der Exploit und die damit verbundenen Sicherheitslücken betroffen sind. Darüber hinaus sind auch Umgebungen nicht betroffen, die SMBv1 nicht unterstützen.

Sie können die SMBv1-Unterstützung gemäß den Anweisungen von Microsoft deaktivieren: https://support.microsoft .com / kb / 2696547

Benutzer von Windows 8.1 oder Windows Server 2012 R2 und höher können die Unterstützung deaktivieren, indem sie die Windows-Funktion für "SMB1.0 / CIFS File Sharing Support" entfernen.

Die Implementierung von SMBv1 durch Microsoft weist sechs Hauptschwachstellen auf. Die ersten fünf (und kritischeren) ermöglichen die Remote-Ausführung von beliebigem Code. Der letzte ermöglicht die "Offenlegung von Daten". Die Ransomware nutzt die ersten fünf Sicherheitslücken und nutzt sie aus.

Maßnahmen, die Benutzer / Unternehmen ergreifen können, um diese Ransomware zu verringern, und andere umfassen:

Stellen Sie sicher, dass die Systeme gepatcht sind, die Sicherheitslücken wurden im März 2017 gepatcht.
Führen Sie eine aktuelle Sicherung Ihres Systems oder kritischer Benutzer- / Geschäftsdaten durch.
Verwenden und pflegen Sie eine Antivirenlösung
Verwenden Sie ein Sicherungsschema wie GFS (Großvater, Vater, Sohn).
Entfernen Sie die Verwendung oder Unterstützung von SMBv1 (siehe oben).
Trennen Sie das Netzwerk so, dass die Auswirkungen auf Schäden verringert werden
Verwenden Sie nach Möglichkeit verschiedene Systeme und Betriebssysteme.

Weblinks:

https: // technet. microsoft.com/en-us/library/security/ms17-010.aspx

http://msdn.microsoft.com/en-us/library/aa365233(VS.85).aspx

http: // www. eweek.com/security/wannacry-ransomware-attack-hits-victims-with-microsoft-smb-exploit

Ist SMB in Windows-Editionen für Privatanwender der betroffenen Betriebssysteme standardmäßig aktiviert?

Anscheinend überträgt Windows Updates auch auf nicht unterstützte Systeme wie XP, Vista und dergleichen

@raphael Ja, SMBv1 ist standardmäßig aktiviert.Anweisungen zum Deaktivieren finden Sie auf der Microsoft Support-Seite (wenn Sie v1 natürlich nicht verwenden).

@LunarWatcher Ja, sie haben es auf nicht unterstützte Systeme übertragen, als sie sahen, wie viel Schaden es anrichtete.

AndyO

2017-05-13 16:27:53 UTC

view on stackexchange narkive permalink

Cisco hat einen Artikel dazu veröffentlicht, der detaillierter ist als alle anderen, die ich gesehen habe. Die grundlegenden Schritte zur Vorbeugung lauten wie folgt:

Stellen Sie sicher, dass alle Windows-basierten Systeme vollständig gepatcht sind. Stellen Sie mindestens sicher, dass das Microsoft Bulletin MS17-010 angewendet wurde.

Gemäß den bekannten Best Practices sollte jede Organisation, deren SMB über das Internet öffentlich zugänglich ist (Ports 139, 445), eingehenden Datenverkehr sofort blockieren .

/blockquote>
Und zumindest basierend auf diesem Microsoft Bulletin scheint es sich um eine SMBv1-Sicherheitsanfälligkeit zu handeln, nicht um SMBv2.

Auf welche Weise kann ein Benutzer auf einfache Weise überprüfen, ob "MS17-010 angewendet wurde".auf meinem System?

Vielleicht nicht die eleganteste Lösung, da es sich um Codegolf handelt, aber es ist auf jeden Fall einfach und funktioniert (ich bin zufällig darauf gestoßen): https://codegolf.stackexchange.com/a/120787

Danke Andy!Das ist großartig.Leider scheint das Update nicht auf meinem System installiert zu sein.Eeks !!Ich dachte, Win Updates hätte es automatisch installiert.

Gibt es einen Code Golf, um das entsprechende Update auch einfach zu installieren? !!

Ed Daniel

2017-05-13 00:25:08 UTC

view on stackexchange narkive permalink

Wer ist gefährdet? Alle, auf denen Betriebssysteme ausgeführt werden, die in der Patch-Ankündigung hier aufgeführt sind: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Wie? Malware kann auf viele Arten bereitgestellt werden, sobald ein Endpunkt kompromittiert ist. Der Wurmaspekt dieser Malware nutzt ms17-010 aus. Es könnte also sein, dass Sie auf einen Link klicken und ein Archiv öffnen, das per E-Mail usw. usw. gesendet wurde. https://www.microsoft.com/en-us/security/portal/mmpc/help/infection .aspx

Es scheint zu sein? Willst du mich veräppeln ;-)

Schau es dir an: https://intel.malwaretech.com/botnet/wcrypt/?t=1m&bid=all

Kompromissindikatoren: https://otx.alienvault.com/pulse/5915d8374da2585a08eaf2f6/

Nach anfälligen Endpunkten suchen (nmap): https: // github .com / cldrn / nmap-nse-scripts / blob / master / scripts / smb-vuln-ms17-010.nse

Gute Antwort, alles, was Sie für normale Benutzer hinzufügen könnten, die dies lesen und sich fragen, was sie tun sollten, um sich selbst zu schützen?

Führen Sie einfach Windows Update aus.

@tbodt funktioniert leider nicht für Leute, die Dinge wie Windows XP ausführen.Im Normalfall würden sie keinen Patch erhalten, aber MS hat einen für diesen https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ veröffentlichtUpdate, das heruntergeladen werden muss.

Ich glaube, dass dies keine Antwort gemäß [Ihre Antwort ist in einem anderen Schloss: Wann ist eine Antwort keine Antwort?] (Https://meta.stackexchange.com/q/225370/157730) Versuchen Sie grundsätzlich, dies zu lesenaber ignoriere die Links;Wie viel lernst du daraus?(Sehr wenig, IMO.) Ziehen Sie in Betracht, die wichtigen Details der verlinkten Seiten in die Antwort selbst aufzunehmen, damit diese Antwort auch dann gültig bleibt, wenn diese Seiten geändert werden oder in Zukunft nicht mehr verfügbar sind.

In diesem Fall erhalten Sie eine moderne Version von Windows und führen dann Windows Update aus.

@tbodt, das nicht immer möglich ist (insbesondere in Unternehmensumgebungen)

„Wer ist gefährdet?Jeder, der Betriebssysteme ausführt, die in der Patch-Ankündigung hier aufgeführt sind. Was ist, wenn Sie der einzige in Ihrem lokalen Netzwerk sind?Der Wurm muss von irgendwoher kommen.

Soufiane Tahiri

2017-05-15 16:48:04 UTC

view on stackexchange narkive permalink

Es ist auch wichtig zu wissen, dass es neue Varianten von Wannacry (genannt Wannacry v2) gibt, von denen angenommen wird, dass sie nicht von denselben Autoren stammen.

Wie diese Malware Systeme gefährdet:

Zuerst werden die folgenden Registrierungseinträge erstellt und festgelegt:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ "Microsoft Updates Task Scheduler" = "" [ PATH_TO_RANSOMEWARE] [TRANSOMEWARE_EXE_NAME] "/ r"

HKEY_LOCAL_MACHINE \ SOFTWARE \ WannaCryptor \ "wd" = "[PATH_TO_RANSOMEWARE]"

HKEY_CURRENT_USER \ Control Panel \ Desktop \ "Wallpaper =" % UserProfile% \ Desktop! WannaCryptor! .Bmp "

WannaCry erstellt dann die folgenden Mutexe:

Global \ WINDOWS_TASKOSHT_MUTEX0
LGlobal \ WINDOWS_TASKCST_MUTEX

Danach werden die folgenden Prozesse mit taskkill / f / im beendet:

sqlwriter.exe

sqlserver.exe

Microsoft.Exchange. *

MSExchange *

WannaCry beginnt mit der Suche und Verschlüsselung und Anhängen von .WCRY an das Ende der Dateinamen der folgenden Dateiformate:

.123
.3dm
.3ds
.3g2
.3gp
.602
.7z
.ARC
.PAQ
.accdb
.aes
.ai
.asc
.asf
.asm
.asp
.avi
.backup
.bak
.bat
.bmp
.brd
.bz2
.cgm
.class
.cmd
.cpp
.crt
.cs
.csr
.csv
.db
.dbf
.dch
.der
.dif
.dip
.djvu
.doc
.docb
.docm
.docx
.dot
.dotm
.dotx
.dwg
.edb
.eml
.fla
.flv
.frm
.gif
.gpg
.gz
.hwp
.ibd
.iso
.jar
.java
.jpeg
.jpg
.js
.jsp
.key
.lay
.lay6
.ldf
.m3u
.m4u
.max
.mdb
.mdf
.mid
.mkv
.mml
.mov
.mp3
.mp4
.mpeg
.mpg
.msg
.myd
.myi
.nef
.odb
.odg
.odp
.ods
.odt
.onetoc2
.ost
.otg
.otp
.ots
.ott
.p12
.pas
.pdf
.pem
.pfx
.php
.pl
.png
.pot
.potm
.potx
.ppam
.pps
.ppsm
.ppsx
.ppt
.pptm
.pptx
.ps1
.psd
.pst
.rar
.raw
.rb
.rtf
.sch
.sh
.sldm
.sldx
.slk
.sln
.snt
.sql
.sqlite3
.sqlitedb
.stc
.std
.sti
.stw
.suo
.svg
.swf
.sxc
.sxd
.sxi
.sxm
.sxw
.tar
.tbk
.tgz
.tif
.tiff
.txt
.uop
.uot
.vb
.vbs
.vcd
.vdi
.vmdk
.vmx
.vob
.vsd
.vsdx
.wav
.wb2
.wk1
.wks
.wma
.wmv
.xlc
.xlm
.xls
.xlsb
.xlsm
.xlsx
.xlt
.xltm
.xltx
.xlw
.zip

Zur Vorbeugung hat Nik Ihnen alles gegeben, was Sie wissen müssen, aber ich werde das hinzufügen Sie sollten versuchen, eingehende Verbindungen an Port 445 / TCP zu blockieren. Stellen Sie sicher, dass Sie die folgende Sinkhole-Domäne nicht blockieren, da dies der Kill-Schalter in der Wannacry v1-Binärdatei ist:

  hxxp: // www [.] Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com

Hoffe, es hilft.

IAmBarry

2017-05-15 19:44:54 UTC

view on stackexchange narkive permalink

Es scheint sich sowohl um einen Standard-Phishing- als auch um einen Ransomware-Angriff zu handeln, aber er verbreitet sich auch wie ein Wurm, sobald er in ein Zielnetzwerk gelangt.

Windows-Server befinden sich normalerweise hinter Firewalls das geht nicht SMB vorbei. Sobald der erste Computer in einem geschützten Netzwerk infiziert ist, verbreitet der Wurm den Angriff mithilfe des oben genannten SMB-Exploits.

Ich möchte eine Bestätigung auf der Phishing-Seite des Angriffs erhalten. Microsoft (seit zwei Tagen) hatte noch keine Informationen zum anfänglichen Kompromiss:

Wir haben keine Beweise für den genauen anfänglichen Eintrittsvektor gefunden, der von dieser Bedrohung verwendet wird, aber es gibt zwei Szenarien, von denen wir glauben, dass sie höchst mögliche Erklärungen für die Verbreitung dieser Ransomware sind:

Ankunft über Social-Engineering-E-Mails, die Benutzer dazu verleiten sollen, die Malware auszuführen und die Funktion zur Verbreitung von Würmern mit dem SMB-Exploit zu aktivieren wenn ein nicht gepatchter Computer von anderen infizierten Computern aus adressierbar ist ( https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/)

[Bearbeiten] Ich habe gerade gesehen, dass Forbes Phishing nicht für einen Hauptbestandteil dieses Angriffs hält. Siehe https://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-global-explosion/#37038021e599:

"... es ist unwahrscheinlich, dass Phishing-E-Mails die primäre Infektionsmethode waren, da nur wenige E-Mails mit Malware geteilt haben. Die Talos-Abteilung von Cisco glaubt nicht, dass Phishing-E-Mails verwendet wurden ..."

Damit bleiben ungeschützte Server mit SMB-Ports als primärem Infektionsvektor dem offenen Internet ausgesetzt. Dies könnte einige der hochkarätigen Ziele erklären, von denen berichtet wurde, dass sie weit verbreitete Netzwerke haben (FedEx, NHS usw.). Es würde nur einen unbelichteten Computer benötigen, der auch mit einem breiteren Netzwerk verbunden ist, um eine Infektion zu booten.

scheint eher ein Kommentar als eine Antwort zu sein

Die Frage ist ebenfalls eine Behauptung, daher halte ich es für fair, sie zu beantworten, indem die Gewissheit der Phishing-Behauptungen und die Wirksamkeit des einzigen SMBv1-Vektors widerlegt werden.

Unsere privaten InfoSec-Feeds melden Details zu einigen Phishing-Angriffen.Ich kann keine öffentlichen Informationen finden, aber es scheint tatsächlich einen Phishing-Vektor zu geben.Überprüfen Sie Ihre Anbieter.

Ich habe viel recherchiert, aber es gibt keinen Blick auf E-Mails, die mit wannacry verknüpft sind.Schlagen Sie mich, wenn ich falsch liege, aber für mich ist die Suche nach diesem Infektionsvektor vorbei.Es gibt dann nichts "Ich habe gehört, dass jemand gesagt hat, er hat eine solche Mail".Tatsächlich bin ich für stackexchange registriert, weil es Benutzer bei askubuntu gibt, die behaupteten, Möchtegern-Phishing-Mails zu haben.Nach zwei Tagen Kommunikation konnte ich mit Sicherheit sagen: Sie haben keine.Und niemand anderes.Schauen Sie auch hier: https://nakedsecurity.sophos.com/2017/05/17/wannacry-the-ransomware-worm-that-didnt-arrive-on-a-phishing-hook/

WinEunuuchs2Unix

2017-05-17 05:55:20 UTC

view on stackexchange narkive permalink

NHS war dazu verdammt, der erste Treffer zu sein

Hier gibt es viele gute Antworten, aber diese Antwort ist angesichts der jüngsten Ereignisse aufschlussreich. Am 18. Januar 2017 forderte US-Cert Administratoren auf, SMBv1 auszuschalten. Kommentare zu dieser Geschichte besagen jedoch, dass der einzige Grund, warum Windows XP noch unterstützt wird, der NHS (National Health Services in Großbritannien, der am Freitag heruntergefahren wurde) ist 12. Mai) zahlt M $ Tonnen Bargeld, um es am Leben zu erhalten.

Ein Link für alle, die Windows-gefährdete Versionen nicht unterstützen

Wenn Sie einen älteren Windows Vista-Backup-Laptop wie mich haben, Sie Vielleicht interessieren Sie sich für KB4012598 für Windows 8, XP, Vista, Server 2008 und Server 2003, die den viel diskutierten Themen MS17-010 entsprechen. Hierbei handelt es sich um manuelle Patches für EOL-Windows-Versionen (End of Life) ohne Support und automatische Updates. Microsoft hat den außergewöhnlichen Schritt unternommen, diese Patches in den letzten 48 Stunden zu veröffentlichen.

Linux-Benutzer können ebenfalls betroffen sein.

Wenn Linux-Benutzer diese Antwort lesen, möchte ich darauf hinweisen Schwachstellen, die in Ask Ubuntu zu dieser Frage besprochen wurden, die ich gepostet habe.

Technische Details, die in anderen Antworten nicht aufgeführt sind

In diesem Artikel wird das Blockieren erläutert bestimmte Ports und Deaktivieren von SMBv1 und SMBv2 zugunsten von SMBv3. Ein Teil des Artikels besagt, dass das FBI sagt, Sie sollten die Kriminellen nicht bezahlen, um Ihre Daten zurückzubekommen, aber ehrlich gesagt würde ich 300 Dollar zahlen, um mein Leben zurückzubekommen.

Spooky Zufälle

Die Shadow Brokers haben laut einem Artikel heute 31 Riesen gemacht. Interessanterweise tauchte der Name erstmals (AFAIK) als fiktive Gruppe auf, die sich in einem vor etwa 10 Jahren in Edmonton erfundenen Sci-Fi-Videospiel mit Geheimnissen befasst. Zweitens berechnen sie 300 US-Dollar, um Ihre freigelassenen Daten freizuschalten, und ich habe 300 US-Dollar für Datenreparaturen von GL, AR, IC, PR usw. berechnet. Ich bezweifle jedoch sehr, dass die Shadow Brokers ihren Sitz in Edmonton haben, wo ich wohne.

Version zwei ist aus und der Kill-Schalter funktioniert nicht

Die Erstellung der Website http://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/, die als Kill-Switch für die fungiert Ransomware soll von einer neuen Version von "Wanna Cry" abgelöst worden sein. Ich habe nicht viele Artikel gelesen, die dies bestätigen, aber in jedem Fall sollten die SMBv1- und SMBv2-Löcher verstopft sein. Die Leute sollten sich nicht darauf verlassen, dass der Kill-Switch mit zukünftigen "Wanna Cry" -Versionen oder neuer Malware / Ransomware, die die Lücke nutzt, funktioniert.

Wenn Sie sich fragen, was die Kill-Switch-Website freundlich sagt, ist dies der Fall ist:

sinkhole.tech - wo die Bots hart feiern und die Forscher härter ...

Microsoft Conspiracy Theories

Diese Wer nicht an Verschwörungen glaubt, kann den Zurück-Knopf drücken. Die NSA und Microsoft wussten, dass dies gemäß diesem Artikel geschehen war, in dem eine Petition in Umlauf gebracht wurde, in der gefordert wurde, zu wissen, was Microsoft wann, wo und wie wusste. Die Vorwürfe basieren auf dem Zeitpunkt, zu dem Shadow Brokers, NSA gehackt und MS-Sicherheitsupdates aktualisiert werden.

NHS ist nicht das einzige Unternehmen, das den XP-Support am Leben erhält. Andere große Unternehmen zahlen Millionen ... IMO, es ist eine schreckliche Idee, sie sollten stattdessen in die Aktualisierung ihres Systems investieren!

dr_

2017-05-16 19:39:08 UTC

view on stackexchange narkive permalink

Zusätzlich zu den vorhergehenden Antworten, in denen nur Windows erwähnt wird, und da die Frage " infiziert WannaCry Linux?" auf diese Frage verweist, möchte ich dieses Linux hinzufügen Computer können ebenfalls infiziert werden, wenn sie Wine ausführen: https://twitter.com/hackerfantastic/status/863359375787925505

Die eigentliche Frage ist: Warum funktioniert das?

symcbean

2017-05-15 16:44:10 UTC

view on stackexchange narkive permalink

Während die Installation von Hersteller-Patches immer eine gute Idee ist, ist es auch erwähnenswert, dass die Malware bei der Aktivierung eine DNS-Prüfung durchführt. Ich habe eine gemeldete Domain gesehen:

  www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Aber es ist wahrscheinlich, dass es vielleicht mehr gibt. Daher sollte es möglich sein, Ihr Netzwerk mithilfe einer solchen Funktion (auf einer Linux / Unix-Box) auf neue Infektionen zu überwachen, bei der eine sehr lange Zeichenfolge als Domänenkomponente in einer DNS-Abfrage getestet wird:

  tcpdump -K dst port 53 | awk '$ 8 ~ /[^\. weiblich{20,}/ {print $ 0; } '

(nicht getestet: YMMV)

Da die DNS-Prüfung die Ursache für die Niederlage des ersten Stammes war, ist es wahrscheinlich, dass nachfolgende Stämme dies nicht haben.

Das sieht ziemlich ähnlich aus wie [etwas, das Chrome beim Start tut] (// unix.stackexchange.com/q/363512).Der Unterschied besteht darin, dass die Chrome-Anforderungen nicht qualifizierte Hostnamen und keine ".com" -Namen betreffen.

Diese Leute haben eine bessere Version dieser Methodik: https://www.youtube.com/watch?v=ZNas6BmbRvo

usr-local-ΕΨΗΕΛΩΝ

2017-05-19 19:40:12 UTC

view on stackexchange narkive permalink

Ich werde den Teil "Wie man schützt" ein wenig präzise beantworten.

0. Schnell handeln

Die Malware verbreitet sich immer noch. Wenn Ihr System ungeschützt ist, wird seine verbleibende Lebensdauer in Stunden

1 gezählt. Stellen Sie sicher, dass Sie die erforderlichen Systemaktualisierungen durchführen.

Microsoft hat bereits Patches für alle Versionen von Windows veröffentlicht, die gerade gewartet werden. Möglicherweise wurde Windows ME nicht gepatcht, andernfalls gehen Sie zu # 4

2. Backup

Sie können Ihre Infrastruktur durch jede Ransomware verteidigen oder zumindest deren Schaden begrenzen, indem Sie eine gültige Backup-Richtlinie durchsetzen. Das Sichern auf einem anfälligen Computer ist in dieser Situation bedeutungslos. Die Synchronisierung mit der Cloud kann gefährlich sein.

3. Firewall selbst von außen

Wenn Sie ein Heimanwender oder ein großes Unternehmen sind, müssen Sie immer die Faustregel der Firewall anwenden: Deaktivieren Sie alles außer den Diensten, die Sie tatsächlich ausführen.

Eine Webanwendung ausführen? Öffnen Sie nur die Ports 80/443. Torrent zu Hause laufen lassen? Verwenden Sie upnp oder wählen Sie Ihre Ports aus, die auf Ihrem Modem geöffnet werden sollen.

Verwenden Sie keine DMZ. Wenn Sie SMB wirklich brauchen, müssen Sie sorgfältig darüber nachdenken. Die Diskussion über ServerFault kann gut sein.

4. Luftspalt oder alte Maschinen mit starker Firewall

Wenn Sie ein Legacy-System besitzen, das wirklich geschäftskritisch ist und nicht in kurzer Zeit aktualisiert werden kann, sollten Sie es in Betracht ziehen. Das Virtualisieren einer alten Windows-Version ist nutzlos, da sich die Malware in Ihrem Netzwerk veralteter Computer verbreiten kann. Wenn Sie die Firewall nicht schließen und / oder SMB nicht vollständig deaktivieren können, müssen Sie als letztes das Netzwerkkabel entfernen, bis Sie eine bessere Lösung finden.