WannaCrypt / wannacry

UnleashThebeast

unsäglicher Prolet

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3565

13.05.2017 - 10:35

WannaCry: Angriff mit Ransomware legt weltweit Zehntausende Rechner lahm

In ganz England hat ein Kryptotrojaner am Freitag zahlreiche Krankenhäuser lahmgelegt. Und das ist offenbar nur die Spitze des Eisbergs einer globalen Welle von Infektionen mit Wana Decrypt0r 2.0 oder einfach WannaCry.

Link: www.heise.de

- Jede Menge Krankenhäuser in England
- die Infoscreens der Deutschen Bahn
- FedEx auf einem "Enterprise Level" und die ganze IT steht bis Montag
- Russisches Innenministerium (!) und der größte Telco
- Universität in Milan

usw usf.
PWNED.

Virustotal sagt "ja ne alles gut mit dem File, gell?!" Link Heil Schlangenöl!

Ich bin mir sicher, dass es hier am Montag noch ein paar böse Überraschungen geben wird.

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16867

13.05.2017 - 10:47

inital dürfte das ganze per mail/phising reinkommen, dagegen kann man sich nur schwer schützen in großen strukturen (mitarbeiter schulung etc).

@virustotal:
das ist zum ersten mal, dass so gut wie jeder relevante hersteller die file erkennt

normal hast 4-5 scanner nach einer woche.

empfohlene maßnahmen:

smb services nicht ins internet freischalten (service-ports)
ms17-10 patchen: clients + server (alles mit smb + domaincontroller)
smbv1 deaktivieren! ~~ist standardmäßig ab server 2008 gar nicht mehr aktiv, wird aber oft aktiviert um kompatibilität zu winxp/server2k3 herzustellen~~

microsoft artikel zum thema, es wurden sogar updates für winxp/server2003 zur verfügung gestellt:
https://blogs.technet.microsoft.com...acrypt-attacks/

tanium artikel:
https://blog.tanium.com/wannacry-wc...anium-can-help/

alienvault IoCs (indicators of compromise) (IP listen + hashes + domains):
https://otx.alienvault.com/pulse/59...a2585b4feaf2f6/

Bearbeitet von Smut am 13.05.2017, 12:42

UnleashThebeast

unsäglicher Prolet

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3565

13.05.2017 - 10:56

Zitat aus einem Post von Smut
@virustotal:
das ist zum ersten mal, dass so gut wie jeder relevante hersteller die file erkennt

Es hat aber KEINER erkannt, sieht man im Screenshot

//edit

OK, mittlerweile etwas besser
https://www.virustotal.com/en/file/...sis/1494622980/

Bearbeitet von UnleashThebeast am 13.05.2017, 11:01

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16867

13.05.2017 - 11:05

AV ist reaktiv, das liegt in der natur der sache. wichtig ist, dass es sobald es erkannt wurde schnell die clients erreicht. heuristik funktioniert halt nur bedingt, wird meines wissens nach von virus total aber gar nicht beleuchtet, da es hier rein um signaturen geht. sprich, die aussage hinter dem screenshot bedeutet nicht, dass keiner der AVs den ausbruch verhhindert hätte!
wer glaubt, dass AV gegen gänzlich unbekannte applikationen schützen kann, hat das konzept dahinter nicht verstanden und wird damit immer unglücklich sein. aktuell ist man aber wieder besser dran wenn man einen AV draußen hat, als man hätte keinen. muss jede person bzw. unternehmen aber für sich entscheiden ob und welcher AV eingesetzt wird oder eben nicht.

UnleashThebeast

unsäglicher Prolet

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3565

13.05.2017 - 11:41

Zitat aus einem Post von Smut
AV ist reaktiv, das liegt in der natur der sache. wichtig ist, dass es sobald es erkannt wurde schnell die clients erreicht.

Der Exploit kommt aus dem Shadowbrokers-dump von Mitte April. Ein Monat Zeit um sowas in Schlangenöl-Signaturen einzubauen reicht nicht? top kek.

Zitat aus einem Post von Smut
aktuell ist man aber wieder besser dran wenn man einen AV draußen hat, als man hätte keinen.

Das klingt für mich nach typischen Apologeten-Talk, sorry. "Wenn dir wer in den kopf schiesst, ist es trotzdem besser, wenn du eine Weste anhast! So kann er dir wenigstens nicht in die Brust auch noch schiessen!" what?

btw:

'Accidental hero' finds kill switch to stop spread of ransomware cyber-attack

Spread of malware curtailed by expert who simply registered a domain name for a few dollars, giving many across world time to protect against attack

Link: www.theguardian.com

Find ich geil. Unregistrierter Domainname als Killswitch. dafuq?

Und weil man mit Schlangenöl soviel besser dran ist als ohne, blockt das Schlangenöl mal direkt den Zugriff auf den Killswitch.
https://mobile.twitter.com/GossiThe...5710977/photo/1

nice.

Bearbeitet von UnleashThebeast am 13.05.2017, 11:59

Dreamforcer

New world Order

Registered: Nov 2002
Location: Tirol
Posts: 9063

13.05.2017 - 12:16

ich glaub ich nehm nächtste woche urlaub, mir schauerts schon ein wenig

NeM

OC Addicted

Registered: Oct 2004
Location: Austria
Posts: 4887

13.05.2017 - 12:24

Zitat
Das klingt für mich nach typischen Apologeten-Talk, sorry. "Wenn dir wer in den kopf schiesst, ist es trotzdem besser, wenn du eine Weste anhast! So kann er dir wenigstens nicht in die Brust auch noch schiessen!" what?

Und weil man mit Schlangenöl soviel besser dran ist als ohne, blockt das Schlangenöl mal direkt den Zugriff auf den Killswitch.

Sei ma ned bös, aber was du verzapfst.....

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16867

13.05.2017 - 12:44

Zitat aus einem Post von Smut
smbv1 deaktivieren! ~~ist standardmäßig ab server 2008 gar nicht mehr aktiv, wird aber oft aktiviert um kompatibilität zu winxp/server2k3 herzustellen~~

weiß das zufällig jemand? war der annahme smbv1 wäre im server-mode gar nicht aktiv. hab mir gereade aber 2x sauber installierte server angsehen, und da war es aktiv (server 2012, server 2012R2).

@unleash: sorry, ich verstehe nicht aufwas du mit deiner trollerei hinaus willst - mehr ist das nicht. offensichtlich fehlt dir etwas der praxisbezug bzw. liegt ein missverständnis bezüglich funktionsweise von AV scannern vor.

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15863

13.05.2017 - 12:49

8.3 ist deaktiviert ab 2012, v1 glaub ich nicht

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16867

13.05.2017 - 13:03

dürfte auch noch beim 2016er default aktiv sein. oh mann

Stop using SMB1

The official blog of the Windows Server storage engineering teams

Link: blogs.technet.microsoft.com

UnleashThebeast

unsäglicher Prolet

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3565

13.05.2017 - 17:58

Zitat aus einem Post von Smut
@unleash: sorry, ich verstehe nicht aufwas du mit deiner trollerei hinaus willst - mehr ist das nicht. offensichtlich fehlt dir etwas der praxisbezug bzw. liegt ein missverständnis bezüglich funktionsweise von AV scannern vor.

Dann erklärs mir bitte. Du sagst, man ist mit Schlangenöl besser dran als ohne. Aber dann erkennt das Schlangenöl ein Exploit nicht, welches seit einem Monat public ist. Is ja jetzt kein 0day. Also wo genau hat mir das tolle Schlangenöl da jetzt geholfen bzw wie bin ich damit besser dran??

wergor

connoisseur de mimi

Registered: Jul 2005
Location: vulkanland
Posts: 4113

13.05.2017 - 18:14

Wie viele exploits wurden damals veröffentlicht?

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16867

13.05.2017 - 18:24

Zitat aus einem Post von UnleashThebeast
Dann erklärs mir bitte. Du sagst, man ist mit Schlangenöl besser dran als ohne. Aber dann erkennt das Schlangenöl ein Exploit nicht, welches seit einem Monat public ist. Is ja jetzt kein 0day. Also wo genau hat mir das tolle Schlangenöl da jetzt geholfen bzw wie bin ich damit besser dran??

ich lass die Diskussion einfach bleiben. Macht keinen sinn mit dir sachlich und auf Inhaltsebene zu diskutieren, da du es ohnehin besser zu wissen scheinst.

NeM

OC Addicted

Registered: Oct 2004
Location: Austria
Posts: 4887

13.05.2017 - 19:38

Es is halt eben alles Schlangenöl und es gibt ein Problem mit dem eines davon nicht korrekt umgeht und damit ist das ganze komplett sinnlos.

Alles klar? Nein? Ich weiß, macht aber nix

Hansmaulwurf

u wot m8?

Registered: Apr 2005
Location: VBG
Posts: 5639

15.05.2017 - 09:38

Nur aus Interesse, hat die Linux Samba-Implementierung eine Version die es erzwingt? Up2date bin ich, aber bin mir bezüglich Protokoll-Version nicht sicher.
Ich hab jetzt mal alles auf "min protocol = SMB2_02" gesetzt, aber nimmt samba selbst nicht automatisch die höchste verfügbare Version (also die auf Client+Host verfügbar ist) ?

UnleashThebeast unsäglicher Prolet Registered: Dec 2005 Location: 127.0.0.1 Posts: 3565	13.05.2017 - 10:35 WannaCry: Angriff mit Ransomware legt weltweit Zehntausende Rechner lahm In ganz England hat ein Kryptotrojaner am Freitag zahlreiche Krankenhäuser lahmgelegt. Und das ist offenbar nur die Spitze des Eisbergs einer globalen Welle von Infektionen mit Wana Decrypt0r 2.0 oder einfach WannaCry. Link: www.heise.de - Jede Menge Krankenhäuser in England - die Infoscreens der Deutschen Bahn - FedEx auf einem "Enterprise Level" und die ganze IT steht bis Montag - Russisches Innenministerium (!) und der größte Telco - Universität in Milan usw usf. PWNED. Virustotal sagt "ja ne alles gut mit dem File, gell?!" Link Heil Schlangenöl! Ich bin mir sicher, dass es hier am Montag noch ein paar böse Überraschungen geben wird.
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16867	13.05.2017 - 10:47 inital dürfte das ganze per mail/phising reinkommen, dagegen kann man sich nur schwer schützen in großen strukturen (mitarbeiter schulung etc). @virustotal: das ist zum ersten mal, dass so gut wie jeder relevante hersteller die file erkennt normal hast 4-5 scanner nach einer woche. empfohlene maßnahmen: smb services nicht ins internet freischalten (service-ports) ms17-10 patchen: clients + server (alles mit smb + domaincontroller) smbv1 deaktivieren! ~~ist standardmäßig ab server 2008 gar nicht mehr aktiv, wird aber oft aktiviert um kompatibilität zu winxp/server2k3 herzustellen~~ microsoft artikel zum thema, es wurden sogar updates für winxp/server2003 zur verfügung gestellt: https://blogs.technet.microsoft.com...acrypt-attacks/ tanium artikel: https://blog.tanium.com/wannacry-wc...anium-can-help/ alienvault IoCs (indicators of compromise) (IP listen + hashes + domains): https://otx.alienvault.com/pulse/59...a2585b4feaf2f6/ Bearbeitet von Smut am 13.05.2017, 12:42
UnleashThebeast unsäglicher Prolet Registered: Dec 2005 Location: 127.0.0.1 Posts: 3565	13.05.2017 - 10:56 Zitat aus einem Post von Smut @virustotal: das ist zum ersten mal, dass so gut wie jeder relevante hersteller die file erkennt Es hat aber KEINER erkannt, sieht man im Screenshot //edit OK, mittlerweile etwas besser https://www.virustotal.com/en/file/...sis/1494622980/ Bearbeitet von UnleashThebeast am 13.05.2017, 11:01
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16867	13.05.2017 - 11:05 AV ist reaktiv, das liegt in der natur der sache. wichtig ist, dass es sobald es erkannt wurde schnell die clients erreicht. heuristik funktioniert halt nur bedingt, wird meines wissens nach von virus total aber gar nicht beleuchtet, da es hier rein um signaturen geht. sprich, die aussage hinter dem screenshot bedeutet nicht, dass keiner der AVs den ausbruch verhhindert hätte! wer glaubt, dass AV gegen gänzlich unbekannte applikationen schützen kann, hat das konzept dahinter nicht verstanden und wird damit immer unglücklich sein. aktuell ist man aber wieder besser dran wenn man einen AV draußen hat, als man hätte keinen. muss jede person bzw. unternehmen aber für sich entscheiden ob und welcher AV eingesetzt wird oder eben nicht.
UnleashThebeast unsäglicher Prolet Registered: Dec 2005 Location: 127.0.0.1 Posts: 3565	13.05.2017 - 11:41 Zitat aus einem Post von Smut AV ist reaktiv, das liegt in der natur der sache. wichtig ist, dass es sobald es erkannt wurde schnell die clients erreicht. Der Exploit kommt aus dem Shadowbrokers-dump von Mitte April. Ein Monat Zeit um sowas in Schlangenöl-Signaturen einzubauen reicht nicht? top kek. Zitat aus einem Post von Smut aktuell ist man aber wieder besser dran wenn man einen AV draußen hat, als man hätte keinen. Das klingt für mich nach typischen Apologeten-Talk, sorry. "Wenn dir wer in den kopf schiesst, ist es trotzdem besser, wenn du eine Weste anhast! So kann er dir wenigstens nicht in die Brust auch noch schiessen!" what? btw: 'Accidental hero' finds kill switch to stop spread of ransomware cyber-attack Spread of malware curtailed by expert who simply registered a domain name for a few dollars, giving many across world time to protect against attack Link: www.theguardian.com Find ich geil. Unregistrierter Domainname als Killswitch. dafuq? Und weil man mit Schlangenöl soviel besser dran ist als ohne, blockt das Schlangenöl mal direkt den Zugriff auf den Killswitch. https://mobile.twitter.com/GossiThe...5710977/photo/1 nice. Bearbeitet von UnleashThebeast am 13.05.2017, 11:59
Dreamforcer New world Order Registered: Nov 2002 Location: Tirol Posts: 9063	13.05.2017 - 12:16 ich glaub ich nehm nächtste woche urlaub, mir schauerts schon ein wenig
NeM OC Addicted Registered: Oct 2004 Location: Austria Posts: 4887	13.05.2017 - 12:24 Zitat Das klingt für mich nach typischen Apologeten-Talk, sorry. "Wenn dir wer in den kopf schiesst, ist es trotzdem besser, wenn du eine Weste anhast! So kann er dir wenigstens nicht in die Brust auch noch schiessen!" what? Und weil man mit Schlangenöl soviel besser dran ist als ohne, blockt das Schlangenöl mal direkt den Zugriff auf den Killswitch. Sei ma ned bös, aber was du verzapfst.....
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16867	13.05.2017 - 12:44 Zitat aus einem Post von Smut smbv1 deaktivieren! ~~ist standardmäßig ab server 2008 gar nicht mehr aktiv, wird aber oft aktiviert um kompatibilität zu winxp/server2k3 herzustellen~~ weiß das zufällig jemand? war der annahme smbv1 wäre im server-mode gar nicht aktiv. hab mir gereade aber 2x sauber installierte server angsehen, und da war es aktiv (server 2012, server 2012R2). @unleash: sorry, ich verstehe nicht aufwas du mit deiner trollerei hinaus willst - mehr ist das nicht. offensichtlich fehlt dir etwas der praxisbezug bzw. liegt ein missverständnis bezüglich funktionsweise von AV scannern vor.
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15863	13.05.2017 - 12:49 8.3 ist deaktiviert ab 2012, v1 glaub ich nicht
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16867	13.05.2017 - 13:03 dürfte auch noch beim 2016er default aktiv sein. oh mann Stop using SMB1 The official blog of the Windows Server storage engineering teams Link: blogs.technet.microsoft.com
UnleashThebeast unsäglicher Prolet Registered: Dec 2005 Location: 127.0.0.1 Posts: 3565	13.05.2017 - 17:58 Zitat aus einem Post von Smut @unleash: sorry, ich verstehe nicht aufwas du mit deiner trollerei hinaus willst - mehr ist das nicht. offensichtlich fehlt dir etwas der praxisbezug bzw. liegt ein missverständnis bezüglich funktionsweise von AV scannern vor. Dann erklärs mir bitte. Du sagst, man ist mit Schlangenöl besser dran als ohne. Aber dann erkennt das Schlangenöl ein Exploit nicht, welches seit einem Monat public ist. Is ja jetzt kein 0day. Also wo genau hat mir das tolle Schlangenöl da jetzt geholfen bzw wie bin ich damit besser dran??
wergor connoisseur de mimi Registered: Jul 2005 Location: vulkanland Posts: 4113	13.05.2017 - 18:14 Wie viele exploits wurden damals veröffentlicht?
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16867	13.05.2017 - 18:24 Zitat aus einem Post von UnleashThebeast Dann erklärs mir bitte. Du sagst, man ist mit Schlangenöl besser dran als ohne. Aber dann erkennt das Schlangenöl ein Exploit nicht, welches seit einem Monat public ist. Is ja jetzt kein 0day. Also wo genau hat mir das tolle Schlangenöl da jetzt geholfen bzw wie bin ich damit besser dran?? ich lass die Diskussion einfach bleiben. Macht keinen sinn mit dir sachlich und auf Inhaltsebene zu diskutieren, da du es ohnehin besser zu wissen scheinst.
NeM OC Addicted Registered: Oct 2004 Location: Austria Posts: 4887	13.05.2017 - 19:38 Es is halt eben alles Schlangenöl und es gibt ein Problem mit dem eines davon nicht korrekt umgeht und damit ist das ganze komplett sinnlos. Alles klar? Nein? Ich weiß, macht aber nix
Hansmaulwurf u wot m8? Registered: Apr 2005 Location: VBG Posts: 5639	15.05.2017 - 09:38 Nur aus Interesse, hat die Linux Samba-Implementierung eine Version die es erzwingt? Up2date bin ich, aber bin mir bezüglich Protokoll-Version nicht sicher. Ich hab jetzt mal alles auf "min protocol = SMB2_02" gesetzt, aber nimmt samba selbst nicht automatisch die höchste verfügbare Version (also die auf Client+Host verfügbar ist) ?

WannaCrypt / wannacry

Forum Index > Software > Applications, Apps & Drivers

UnleashThebeast

Smut

UnleashThebeast

Smut

UnleashThebeast

Dreamforcer

NeM

Smut

userohnenamen

Smut

UnleashThebeast

wergor

Smut

NeM

Hansmaulwurf