Beratung Mai 13, 2017

WannaCrypt Ransomware-Angriff

Wir möchten Sie auf eine neue Ransomware aufmerksam machen, die sich seit dem 12. März weltweit verbreitet hat und Hunderttausende von Windows-Computern und
für die Sie die Anwendung eines Notfall-Sicherheitspatch-Updates in Betracht ziehen sollten, das Microsoft vor einigen Stunden veröffentlicht hat.

Die Ransomware trägt den Namen WannaCrypt und nutzt die neuesten von der NSA veröffentlichten Sicherheitslücken, die als EternalBlue identifiziert wurden. Er ist auch als WannaCry, Wcry oder Wanna Decryptor bekannt und verbreitet sich durch Ausnutzung einer Windows SMB-Schwachstelle (MS17-010).
Die Ransomware betrifft Windows 7- und Windows Server 2008-Systeme (oder frühere Betriebssysteme), die nicht gegen die Windows SMB-Schwachstelle (MS17-010) gepatcht worden sind. Sobald ein Windows-Computer infiziert ist, sperrt er die Dateien auf dem Computer und verlangt von den Opfern, 300 Dollar in Bitcoins zu zahlen, um die Kontrolle über ihr System zurückzuerlangen.

Wie sich das verbreitet:

Der typische Angriffsvektor sind Social Engineering- oder Spam-E-Mails, in denen die Benutzer aufgefordert werden, auf einen Link in der E-Mail zu klicken oder eine PDF-Datei oder einen anderen Anhang, der den Exploit-Code enthält, herunterzuladen und auszuführen.
Eine Datei mssecsvc.exe wird installiert und führt die Datei tasksche.exe aus, um einen Dienst mssecsvc2.0 zu erstellen. Dieser Dienst erhält die IP-Adresse des Rechners und versucht, über Port 445 (TCP) eine Verbindung zu jeder IP-Adresse im selben Subnetz herzustellen.
Wenn die Verbindung erfolgreich ist, wird die böswillige Sitzung eingeleitet und die Daten werden übertragen.

Was unsere Kunden im Rahmen von Schadensbegrenzungs- und Präventionsmaßnahmen tun sollten

  • Stellen Sie sicher, dass alle Windows-basierten Systeme mit den neuesten Sicherheitsupdates gepatcht sind. Zumindest sollte das Sicherheits-Patch für die Sicherheitslücke MS17-010 von folgender Website heruntergeladen werden: www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
  • Schließen Sie alle öffentlich zugänglichen SMB-Ports (TCP 139, 445)
  • Sicherstellen, dass alle Verbindungen zu TOR-Knoten und TOR-bezogener Verkehr im Netzwerk blockiert werden.
  • Stellen Sie sicher, dass auf allen Endgeräten im Unternehmen Anti-Malware-Software installiert ist und dass die Software regelmäßig mit Malware-Signaturen aktualisiert wird.
  • Den Nutzern wird dringend empfohlen, häufig Sicherungskopien ihrer Daten zu erstellen, um sie wiederherstellen zu können, falls ihre Geräte mit der Malware infiziert wurden.
  • Den Nutzern wird dringend empfohlen, keine E-Mails zu öffnen, die Links oder Anhänge von unbekannten Empfängern enthalten, oder wenn der Betreff oder der Inhalt der E-Mail für sie ungewöhnlich ist.

Zusätzliche Informationen / IoC:

Gemeldete Hash-Werte

  • ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
  • c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9
  • 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
  • 0a73291ab5607aef7db23863cf8e72f55bcb3c273bb47f00edf011515aeb5894
  • 428f22a9afd2797ede7c0583d34a052c32693cbb55f567a60298587b6e675c6f
  • 5c1f4f69c45cff9725d9969f9ffcf79d07bd0f624e06cfa5bcbacd2211046ed6
  • 62d828ee000e44f670ba322644c2351fe31af5b88a98f2b2ce27e423dcf1d1b1
  • 72af12d8139a80f317e851a60027fdf208871ed334c12637f49d819ab4b033dd
  • 85ce324b8f78021ecfc9b811c748f19b82e61bb093ff64f2eab457f9ef19b186
  • a1d9cd6f189beff28a0a49b10f8fe4510128471f004b3e4283ddc7f78594906b
  • a93ee7ea13238bd038bcbec635f39619db566145498fe6e0ea60e6e76d614bd3
  • b43b234012b8233b3df6adb7c0a3b2b13cc2354dd6de27e092873bf58af2693c
  • eb47cd6a937221411bb8daf35900a9897fb234160087089a064066a65f42bcd4
  • 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
  • 2c2d8bc91564050cf073745f1b117f4ffdd6470e87166abdfcd10ecdff040a2e
  • 7a828afd2abf153d840938090d498072b7e507c7021e4cdd8c6baf727cafc545
  • a897345b68191fd36f8cefb52e6a77acb2367432abb648b9ae0a9d708406de5b
  • fb0b6044347e972e21b6c376e37e1115dab494a2c6b9fb28b92b1e45b45d0ebc
  • 9588f2ef06b7e1c8509f32d8eddfa18041a9cc15b1c90d6da484a39f8dcdf967
  • b43b234012b8233b3df6adb7c0a3b2b13cc2354dd6de27e092873bf58af2693c
  • 4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982
  • 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa

Demo buchen