Der Ausbruch der Ransomware WannaCry (.WNCRY, Wana Decrypt0r 2.0) ist zweifellos das schrecklichste Cyber – Sicherheitsereignis in 2017. Soweit. Diese Ransomware hat die Systeme von Telefonica in Spanien beeinträchtigt, sowie von mehreren Krankenhäusern im Vereinigten Königreich. Er hat auch die Maschinen des Staatlichen Gesundheitsdiensts (NHS) in England und Schottland befallen.
Mehrere Quellen vermuten, dass NHS und möglicherweise andere Organisationen betroffen wurden, weil sie die nicht mehr unterstützte Version Windows XP auf Tausenden von Rechnern benutzen.
Nur vor wenigen Tagen hat Kaspersky Lab berichtet, dass der Angriff “durch rechnerferne Code Ausführung von SMBv2 in Microsoft Windows veranlasst wurde. Dieses Exploit (unter dem Codename “EternalBlue”) wurde im Internet durch Anzeige aus Shadowbrokers am 14 April 2017 veröffentlicht und von Microsoft am 14 März behoben.”
Wie wir bereits geschrieben haben, sind EternalBlue und DoublePulsare eigentlich die Exploits, die von den Organisationen benutzt werden, die WannaCry vertreiben. Die Exploits sind online irgendwann um die Osterferien von The Shadow Brokers auslaufen gelassen. Dieses Exploit befällt meistens Probleme in Windows Systemen, und wir empfehlen dringend allen, die von diesem Virus noch nicht betroffen sind, Sicherheitskopien von ihren Systemen zu erstellen und sie danach zu aktualisieren.
MS17-010 ist nichtsdestotrotz ein Patch auch für neuere Versionen von Windows, wie Windows 7 und Windows 8.1, Windows Server 2008, Windows Server 2012 und Windows Server 2016.
Da sich die Ransomware ununterbrochen entwickelt und ihre Verbreitungsweise ändert, sind die Maßnahmen, ihre Auswirkungen zu mildern, wichtiger als jemals zuvor.
Sperren Sie nicht Domains, die mit WannaCry Ransomware verbunden sind.
Laut des Britischen Nationalen Cyber – Sicherheits-Zentrums:
Die im Bereich der Sicherheitsforschungsgemeinschaft geleistete Arbeit hat eine Reihe von Beeinträchtigungen vorgebeugt. Um davon zu profitieren, muss das System fähig sein, zu beschließen und zum Zeitpunkt der Beeinträchtigung sich mit der Domain unten in Verbindung zu setzen.
www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
Im Unterschied zu den meisten Infizierungen mit Schadsoftware darf Ihre IT – Abteilung diese Domain nicht sperren.
Zusätzlich zur Regel, dass die WannaCry Domains nicht gesperrt werden, haben sich die Sicherheitsexperten über 5 allgemeine Maßnahmen geeinigt, die von privaten Anwendern sowie IT Administratoren getroffen werden müssen, um die Folgen der Auswirkung des Virus zu mildern.
Es muss MS17-010 aufgespielt werden.
Wie Microsoft erklärt hat, “zielen die Sicherheitsaktualisierungen auf Schwachstellen ab durch Verbesserung der Weise, wie SMBv1 besonders komplexe Abfragen behandelt”. Es ist äußerst wichtig, dass alle Systemaktualisierungen gleich aufgespielt werden, wenn sie vorhanden sind. Das ist eine wunderschöne Weise, die durch den MS17-010 Fehler vermittelten Infizierungen zu verhindern. Vergessen Sie nicht, dass falls Ihr System nicht mit diesem Patch aktualisiert worden ist, sie es unverzüglich von allen Netzwerken entfernen müssen.
Das Notfall – Windows Patch muss aufgespielt werden.
Microsoft hat offensichtlich Notfall – Sicherheitspatches für mehrere Betriebssysteme hervorgebracht, die nicht mehr unterstützt werden, um die Organisationen dabei zu erleichtern, sich selbst gegen den nicht zu beherrschenden Ausbruch der Ransomware WannaCry zu verteidigen.
SMBv1 muss deaktiviert werden.
Laut des Nationalen Cyber – Sicherheits-Zentrums (NSCS), falls diese Patches nicht angewandt werden können, muss SMBv1 deaktiviert werden.
SMBv1 muss gesperrt werden.
Alternativ können die SMBv1 Anschlüsse der Netzwerkgeräte gesperrt werden – UDP 137, 138 und TCP 139, 445 – lautet die Empfehlung von NCSC.
Totales Herunterfahren der gefährdeten Systeme
Sollte eine der oben aufgelisteten Lösungen nicht zugänglich sein, empfiehlt NCSC, die gefährdeten Systeme zu terminieren. ”Sollten diese Schritte unmöglich sein, kann die Ausbreitung durch Herunterfahren der gefährdeten Systeme verhindert werden,” hat die Organisation geraten.
