Es infizieren sich nur Systeme die nicht up to date gehalten werden?
Also wohl in erster Linie Win XP.
Wie ist das bei Win7 und Win Vista? Wenn automatische Updates ständig aktiviert waren, dürfte dann doch nichts passieren?

greetz
US

Ist Vista nicht gerade raus aus dem Support?

Und Win 8 bzw. 8.1?

Guck doch einfach mal nach wie lange die entsprechenden Versionen noch Support bekommen von MS. Wenn sie noch drin sind und die Updates aktuell, sollte es passen.

Es infizieren sich nur Systeme die nicht up to date gehalten werden?
Also wohl in erster Linie Win XP.
Wie ist das bei Win7 und Win Vista? Wenn automatische Updates ständig aktiviert waren, dürfte dann doch nichts passieren?

greetz
US
Wenn du den Mailanhang mit dem Wurm geöffnet hast dann helfen dir die Updates nicht. Die Updates helfen dann wenn ein Rechner im Netzwerk verseucht wurde. Dann kann sich der Wurm über die SMB-Lücke nicht weiter verbreiten.

Im TV war ein Krankenhaus zu sehen das schon früher von Ransomware betroffen war.
Auf dem Schreibtisch des Befragten stand ein Monitor mit XP Anmeldescreen.
Ich habe lachend umgeschalten....

Bei Krankenhäusern ist die chronische Unterfinanzierung das Problem. Da wird an der IT nur das allernötigste gemacht. Wir hatten, deutsches Großklinikum, bis letztes Jahr noch 2000 und XP laufen.

Demnächst erkundigt man sich dann besser vorher unter welchem BS die Klinik arbeitet in welcher man operiert wird. Auch wenn die Systeme sicher intern weitestgehend voneinander abgekoppelt sind ...

Um dich zu operieren brauche ich keinen pc. Das Problem ist eher bei der Aufnahme, Verwaltung und aktenführung.

Bei Krankenhäusern ist die chronische Unterfinanzierung das Problem. Da wird an der IT nur das allernötigste gemacht. Wir hatten, deutsches Großklinikum, bis letztes Jahr noch 2000 und XP laufen.

Das liegt nicht unbedingt an der Finanzierung, sondern an der Zertifizierung. Es gibt im Gesundheitsbereich Millionenteure Investitionen, die fest mit einem PC mit genau festgelegter Betriebssystemversion verkoppelt sind. Du kannst bei vielen solcher Installationen zwar Updates installieren, aber verlierst damit die Zertifizierung und damit im Prinzip die Erlaubnis damit in die Nähe von Patienten zu kommen bzw. den Versicherungsschutz.
Und dann wird der Kram vernetzt. Zwar oft hinter einer Firewall bzw. in geschlossenen Subnetzen, aber das hift Dir auch nicht wenn ein Wurm per Mail hinter die Firewall kommt.

Um dich zu operieren brauche ich keinen pc. Das Problem ist eher bei der Aufnahme, Verwaltung und aktenführung.

Brauchst Du keine Röntgenbilder zum Operieren? Die gibts schon lange nicht mehr auf Film. Oder evtl Laborwerte?

Nicht zwingend. Röntgenbilder könnte ich mir zur Not mit dem c Bogen im Op machen, der hängt an keinem Netz.

Nicht zwingend. Röntgenbilder könnte ich mir zur Not mit dem c Bogen im Op machen, der hängt an keinem Netz.

Unsere Orthopäden sehen das anders ;)
Wir haben vor ~2 Jahren einen neuen C-Bogen gekauft. Das Ding läuft mit XP. Und hat einen Netzwerkanschluss. Der benutzt wird, um die archivierten Bilder ins Storage Array zu sichern.

So modern sind unsere Orthos nicht. Die drucken ihre Bilder vom C Bogen brav nach der OP aus und heften sie in die Akte.

Ich meinte das Operieren ohne Röntgenbild. Für Gelenk-Endoprothesen brauchst Du nun mal irgendwas wonach Du arbeiten kannst. Und die Röntgenbilder die vor der OP gemacht wurden sind über in die Wand integrierte PCs mit großen Bildschirmen abrufbar, die dort die klassischen Röntgenbildbetrachter ersetzt haben. Die laufen mit Win7. Ob die jemals gepatcht werden kann ich nicht sagen, das liegt nicht in meinem Verantwortungsbereich.

Welcher AV hat WannaCry eigentlich rechtzeitig erkannt?

Keiner. Dafür haben viele den Killswitch geblockt.

Ich bin mir nicht sicher, ob es wirklich keiner erkannt hat, aber man liest jedenfalls nicht besonders viel darüber. Das finde ich schon seltsam, weil die ganzen AV-Hersteller ja sonst immer direkt lautstark die PR-Trommel schlagen. Irgendwer sollte WannaCry schon erkannt haben. Die Exploits waren ja schon länger mehr oder weniger öffentlich.

Irgendwer sollte WannaCry schon erkannt haben. Die Exploits waren ja schon länger mehr oder weniger öffentlich.

Aktuell: Fast ein Drittel woohoo (18/56):
(Ein "dropper" von vielen)
https://www.virustotal.com/en/file/75457f282337bccb7f48db927bdfb16d517c13eb5f361419776363bcdb2a64f2/analysis/

Als es relevant war: 0/56, wie fast immer: http://ptrace.fefe.de/vt-ransom.png

Guck doch einfach mal nach wie lange die entsprechenden Versionen noch Support bekommen von MS. Wenn sie noch drin sind und die Updates aktuell, sollte es passen.

wie?? Ich hätte damit gerechnet, dass MS deutlichst kommuniziert welche BS besonders gefährdet sind und manuell nachgepatcht werden müssen.
Irgendwo haben die doch bestimmt eine Übersicht.

greetz
US

Was meinst du mit „manuell nachgepatcht“? Entweder sie bekommen noch Patches oder eben nicht. Wenn nicht, dann kann man da bei vielen Sicherheitslücken nichts mehr machen.

Vista sollte den Patch eigentlich noch regulär vor dem Supportende bekommen haben.

Es gibt entsprechende Updates bis hinab zu Windows XP und Windows Server 2003. Diese können bei Microsoft heruntergeladen werden - ob sie auch über die automatischen Updates ausgeliefert werden, weiß ich nicht.

Mittlerweile ja, das war bis vor ein paar Tagen aber nicht so.

Welcher AV hat WannaCry eigentlich rechtzeitig erkannt?

Keiner. Dafür haben viele den Killswitch geblockt.


Double "Full of Win".



PS: Microsofts Patch bezieht sich nur auf die SMB-Lücke, welche nur für Netzwerke relevant ist. Der Patch ist regulär im März-Update drin, wer da noch Updates bekommen hat, war also schon sicher - nur vor der SMB-Lücke natürlich. Über welche Lücke die Erstinfektion geht, wurde bislang noch nirgendwo richtig gesagt - wahrscheinlich Lücke "Mensch" in Form von unachtsam geöffneter eMail. Da gibt es dann keine Patches für.

Da gibt es dann keine Patches für.

Na ja, doch. Erst gar keine per Mail empfangenen Dateien irgendwie ausführbar machen oder nur in einer gesicherten Umgebung öffnen lassen. Chrome OS hat es ja auch hinbekommen.

Die Datei direkt wird ja nicht ausgeführt. Sonst würden das diverse Mail-Server schon hart wegfiltern. Das Office oder der PDF-Reader führt den Code in der docx oder im PDF ja quasi aus.

Man könnte natürlich serverseitig jeglichen Skriptcode aus den Dokumenten vorher entfernen, aber das macht vermutlich nicht wenige echte Dokumente kaputt.

Aber wenn der Bürorechner vom Angestellten X im gleichen Netzwerk hängt wie der Fahrkarten-Automat 2km entfernt, dann hat die Firma eh ganz andere Probleme.

Angeblich hat die NSA eine Hintertür für Windows ausversehen selbst "geleakt":
https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/#sm.0000ol7tpp3kxdb0tzg14f0pe8ofq

Double "Full of Win".



PS: Microsofts Patch bezieht sich nur auf die SMB-Lücke, welche nur für Netzwerke relevant ist. Der Patch ist regulär im März-Update drin, wer da noch Updates bekommen hat, war also schon sicher - nur vor der SMB-Lücke natürlich. Über welche Lücke die Erstinfektion geht, wurde bislang noch nirgendwo richtig gesagt - wahrscheinlich Lücke "Mensch" in Form von unachtsam geöffneter eMail. Da gibt es dann keine Patches für.


Danke für die Zusammenfassung.
Warum erfährt man so etwas weder in den Nachrichten noch in der Presse????
Nicht mal unsere "Fachpresse" schafft das:

https://www.golem.de/news/wannacry-nsa-exploits-legen-weltweit-windows-rechner-lahm-1705-127801.html
https://www.golem.de/news/wannacry-wo-die-nsa-exploits-gewuetet-haben-1705-127806.html

greetz
US

Da bin ich auch immer wieder erstaunt - das ist exakt beim Thema "Sicherheit" so, bei anderen Themen geht es deutlich mehr in die Details.

Dabei ist es ironischerweise so, das ich bei genauer Kenntnis des Infektionswegs zu 80-90% sagen kann, was für Schutzmaßnahmen geholfen hätten ... womit man langfristig erkennt, welcher vorbeugende Schutz sinnvoll ist und welcher eher nichts bringt. Die meisten * Sicherheitslücken bzw. Angriffe lassen sich meinem Gefühl nach mit banalen Schutzmaßnahmen unterbinden. Mangels genauer Informationen kann ich dieses Gefühl aber nicht beweisen.

* die meisten = nicht alle

Danke für die Zusammenfassung.
Warum erfährt man so etwas weder in den Nachrichten noch in der Presse????
Nicht mal unsere "Fachpresse" schafft das:

https://www.golem.de/news/wannacry-nsa-exploits-legen-weltweit-windows-rechner-lahm-1705-127801.html
https://www.golem.de/news/wannacry-wo-die-nsa-exploits-gewuetet-haben-1705-127806.html

greetz
US

Steht doch im ersten Link drin? :confused:

Bei Krankenhäusern ist die chronische Unterfinanzierung das Problem. Da wird an der IT nur das allernötigste gemacht. Wir hatten, deutsches Großklinikum, bis letztes Jahr noch 2000 und XP laufen.
Chronische Unterfinanzierung und beinharte aufschläge, was die Software und Hardwarefirmen anbelangt.

Ich habe bei einer Firma gearbeitet, welche für eine SVideo aufnahmekarte ueber 800% aufschlag verlangt hat.

Damit waren wir "die günstigen"

Das liegt nicht unbedingt an der Finanzierung, sondern an der Zertifizierung. Es gibt im Gesundheitsbereich Millionenteure Investitionen, die fest mit einem PC mit genau festgelegter Betriebssystemversion verkoppelt sind. Du kannst bei vielen solcher Installationen zwar Updates installieren, aber verlierst damit die Zertifizierung und damit im Prinzip die Erlaubnis damit in die Nähe von Patienten zu kommen bzw. den Versicherungsschutz.
Und dann wird der Kram vernetzt. Zwar oft hinter einer Firewall bzw. in geschlossenen Subnetzen, aber das hift Dir auch nicht wenn ein Wurm per Mail hinter die Firewall kommt.



Brauchst Du keine Röntgenbilder zum Operieren? Die gibts schon lange nicht mehr auf Film. Oder evtl Laborwerte?
Meiner Erfahrung nach ist es eher so, dass die Rechner eh 1,5m vom Patienten entfernt stehen. Geräte, die zwingend näher stehen müssen, und ein OS haben, sind davon betroffen. (Ich rede hier von Herzkathetern und ähnlichem)
Dort hat das Basisgerät diese Anforderungen zu erfüllen. Es ist erschreckend, wie viele Herzkatheterlabore noch mit XP arbeiten, allerdings sind diese so zugenagelt, im besten fall, dass ausser DICOM und ähnlich wichtiges nichts mehr durch kommt. Quasi nur noch IP+DICOM.. kein SMB, nix. Nicht einmal Port 80... (Stelle sich mal einer vor! Surft der Arzt, während du da liegst)
Auf Workstations, die weiter weg stehen (1,5m) läuft ein gepatchtes "aktuelles" windows 7, im allgemeinen.
Diese Geräte müssen nur dem MPG entsprechen und dort eine Zertifizierung drüber haben. Rechner, die wir angeboten haben, welche näher am Patienten stehen dürfen sind aber durchaus auch patchbar.

Die Datei direkt wird ja nicht ausgeführt. Sonst würden das diverse Mail-Server schon hart wegfiltern. Das Office oder der PDF-Reader führt den Code in der docx oder im PDF ja quasi aus.

Ich meinte auch generell. Seit der Adobe Reader z.B. die Chromium-Sandbox benutzt, hört man da nicht mehr viel von riesigen Infektionen. Office müsste einen ähnlichen Schritt gehen. Ein minimaler und stark isolierter Office-Viewer würde wahrscheinlich schon viel bringen.

EDIT: Moment, Office hat so einen Protected Mode? https://support.office.com/en-us/article/What-is-Protected-View-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653

Ich meinte auch generell. Seit der Adobe Reader z.B. die Chromium-Sandbox benutzt, hört man da nicht mehr viel von riesigen Infektionen. Office müsste einen ähnlichen Schritt gehen. Ein minimaler und stark isolierter Office-Viewer würde wahrscheinlich schon viel bringen.

EDIT: Moment, Office hat so einen Protected Mode? https://support.office.com/en-us/article/What-is-Protected-View-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653
Der Protected Mode kann in der Standardkonfiguration leider durch den Nutzer deaktiviert werden, da braucht es auch Menschen die mitdenken oder angepasste Installationen/Gruppenrichtlinien.

Ich meinte auch generell. Seit der Adobe Reader z.B. die Chromium-Sandbox benutzt, hört man da nicht mehr viel von riesigen Infektionen. Office müsste einen ähnlichen Schritt gehen. Ein minimaler und stark isolierter Office-Viewer würde wahrscheinlich schon viel bringen.

EDIT: Moment, Office hat so einen Protected Mode? https://support.office.com/en-us/article/What-is-Protected-View-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653

Ist im Endeffekt das gleiche Problem wie mit Windows selbst. Du musst erst mal alle auf einen aktuellen Software-Stand bringen und nicht noch mit Office 2003 oder 2010 arbeiten, oder alten PDF-Betrachtern.

Auch Sandboxen haben Lücken und auch dort kann man einfach einen alten Software-Stand angreifen.

Da bin ich auch immer wieder erstaunt - das ist exakt beim Thema "Sicherheit" so, bei anderen Themen geht es deutlich mehr in die Details.

Dabei ist es ironischerweise so, dass ich bei genauer Kenntnis des Infektionsweges zu 80-90% sagen kann, was für Schutzmaßnahmen geholfen hätten ... womit man langfristig erkennt, welcher vorbeugende Schutz sinnvoll ist und welcher eher nichts bringt. Die meisten * Sicherheitslücken bzw. Angriffe lassen sich meinem Gefühl nach mit banalen Schutzmaßnahmen unterbinden. Mangels genauer Informationen kann ich dieses Gefühl aber nicht beweisen.

* die meisten = nicht alle
EXAKT!!

Beispiel: Kürzlich beim Vater in Firma erfahre ich, dass die bereits 4x (!!) 'nen Verschlüsselungs-Trojaner / Ransomware im Netzwerk hatten (letzten im Februar), 3x durch die selbe Mitarbeiterin. Seitdem wird ALLES ausgedruckt.
Die Firewall, die ihm das zuständige IT Unternehmen, bei denen er Kunde ist, empfohlen hatte (hab bei dem Typen nachgefragt, der dann da war: Sophos Sandstorm wäre das dann gewesen), ist ihm mit 1300€ oder sowas zu teuer. Nichtmal ein AV-Schutz ist auf den Rechnern installiert.
Mein Tipp bzgl. minimaler Kosten (hab' sogar extra nachgefragt, weil's ja sonst niemand tut: 30€ für 15-30 Min. Einrichtung), den größtmöglichen Schutz auszuloten, nämlich hiermit (0cn.de/Datenschutz3) (und hiermit (0cn.de/Datenschutz4) - hab' ich selbst dann noch manuell auf allen Rechnern eingestellt, bzw. JavaScript in Adobe Reader deaktiviert), wurde abgelehnt, weil ich ja keine Ahnung hätte und sein zuständiges IT Unternehmen wüsste das besser...(..aufgrund einer fälschlichen Aussage der "3x" Mitarbeiterin zu meinem Vater, dass sich pdf's ja nach meiner Einstellung nicht mehr öffnen ließen, OBWOHL ich ihr das noch einen Tag zuvor gezeigt hatte, das das NICHTS mit meiner Einstellung zu tun hat im Adobe Reader, sondern diese EINE pdf Datei, die sie zu öffnen versuchte, beschädigt war aus dem letztem Angriff und sich DESHALB nicht öffnen ließ - Brain.exe kennt sie offenbar nicht....dann aber damit prahlen, dass ihr ältester Sohn sich ja auch mit IT auskennen würde, weil studiert und sie ja bereits dadurch schon so einiges an Erfahrung hätte. :rolleyes: :freak: ;( ...da möchte man nur noch schreiend fortlaufen.)
(Der zuständige Typ meinte auf meine Nachfrage hin allerdings, dass das eh keinen Sinn machen würde....der unausgesprochene Grund aber ist eben natürlich weil sich die Mitarbeiter nicht auskennen inkl. rechte Hand des Vaters (25) und somit auch als Admin.) Da sind somit die weiteren Male bereits fest vorprogrammiert. :upicard:
Dass man bis zu 20 Mio. oder 4% des Jahresumsatzes Bußgeld zahlen darf/kann, scheint ihn auch nicht zu interessieren. :upicard:

Edit:
https://0cn.de/Datenschutz8

Du musst erst mal alle auf einen aktuellen Software-Stand bringen und nicht noch mit Office 2003 oder 2010 arbeiten, oder alten PDF-Betrachtern.

Das mit den alten Office-Versionen ist eh die größte Seuche. Ich will gar nicht wissen, wie viele da draußen irgendwann einmal eine Lizenz gekauft haben und denken, dass sie die jetzt ewig benutzen können. Ich mein, können sie auch, nur wird das mit der Zeit immer haariger, wenn man andauernd irgendwelche Anhänge aus E-Mails damit öffnet.

Auch Sandboxen haben Lücken und auch dort kann man einfach einen alten Software-Stand angreifen.

Klar, macht Angriffe aber bei weitem teurer und die schwerwiegenden Lücken weniger zahlreich.

Die Firewall, die ihm das zuständige IT Unternehmen, bei denen er Kunde ist, empfohlen hatte (hab bei dem Typen nachgefragt, der dann da war: Sophos Sandstorm wäre das dann gewesen), ist ihm mit 1300€ oder sowas zu teuer. Nichtmal ein AV-Schutz ist auf den Rechnern installiert.

Wäre mir auch zu teuer, wenn ich pf oder nftables als Firewall und den Windows Defender haben kann. Das Geld kann man besser in die Konfiguration stecken.

https://securingtomorrow.mcafee.com/mcafee-labs/analysis-wannacry-ransomware/

https://securingtomorrow.mcafee.com/mcafee-labs/analysis-wannacry-ransomware/
Entweder ist der Link falsch oder du bekommst eine Provision, wenn du für eine Produktseite von McAfee wirbst.

Entweder ist der Link falsch oder du bekommst eine Provision, wenn du für eine Produktseite von McAfee wirbst.

Also wenn ich drauf klicke komme ich zu einem Artikel wie die Ransomware WannaCry arbeitet.

Steht doch im ersten Link drin? :confused:


nein nur das typische Verkaufsargument:


Golem:
......offenbar haben viele Nutzer ihre Rechner aber noch nicht auf den aktuellen Stand gebracht
Sprich: Alle doof und selbst schuld weil nicht aktuell....
Und die Presse schluckt das auch noch. Selbst die, die es besser wissen müsten.

Aber wir wissen das sich auch up to date Win 10 Systeme infizieren wenn man die falsche Bewerbung öffnet.
Hilfreich wäre eine Aufstellung der bekannten Infektionswege mit Beispielen. Das würde den Usern helfen "Brain.exe" besser einzusetzen.
Aber nein, besser Hirn abschalten, aktuelles BS kaufen und aktuell halten. Dann wird alles gut :freak::freak::freak:


greetz
US

Bei uns in der Firma (500 User, PCs, Server, etc.) keine aktuellen Vorkommnisse in Sachen WannaCry.
Ich glaube, die Hemmschwelle bei den Usern ist jetzt wieder etwas gesunken.

User denkt:
"Bei uns ist ja alles sicher dank der tollen IT Abteilung, ich klick mal drauf".

Ich hab hier direkt alle verwarnt dass ich zum Tier werde wenn einer sich das Ding einfängt... :D

nein nur das typische Verkaufsargument:
Sprich: Alle doof und selbst schuld weil nicht aktuell....
Und die Presse schluckt das auch noch. Selbst die, die es besser wissen müsten.

Ja, da werden die Killswitch URL und das Windows/SMB Update als Allzweckheilmittel verkauft, dabei schützen die nix vor einer Primärinfektion.

Gut, die SMB Lücke hat nun für die sehr grosse Anzahl an betroffener Systeme gesorgt, ansonsten aber ist WannaCry nichts anders/besser als all die andern 100 Cryptotrojaner die im Umlauf sind.

Btw. wer seine Backups mit der Dateiendung .dll abspeichern lässt, ist mit diesen Daten sicher vor jedem Cryptowurm ;)

Btw. wer seine Backups mit der Dateiendung .dll abspeichern lässt, ist mit diesen Daten sicher vor jedem Cryptowurm ;)

Wenn man die Art der Datei über die Endung ermittelt, vielleicht. Das macht natürlich niemand. Windows hat sicher eine äquivalente Anwendung zu "file".

Also wenn ich drauf klicke komme ich zu einem Artikel wie die Ransomware WannaCry arbeitet.
Egal mit welchem Browser, es leitet mich immer zur Startseite von McAfee mit ihrer Produktlinie um.

Hm.. :confused:

https://abload.de/img/unbenanntcqj10.png

Ist eigentlich bekannt ob man wirklich seine Daten entschlüsseln kann nachdem man die 300 € bezahlt hat?

Greetz
US

Egal mit welchem Browser, es leitet mich immer zur Startseite von McAfee mit ihrer Produktlinie um.
Um dich zu beruhigen: Kann ich so bestätigen.
Linux, Ubuntu.
Firefox, der Opera 12 und Vivaldi leiten mich um auf den Store. :D

Ist eigentlich bekannt ob man wirklich seine Daten entschlüsseln kann nachdem man die 300 € bezahlt hat?

Jup, die kriegt man dann wieder. Darum sagt in solchen Fällen auch die Polizei -> Wenn's wichtig ist, bezahlen.

Jup, die kriegt man dann wieder. Darum sagt in solchen Fällen auch die Polizei -> Wenn's wichtig ist, bezahlen.
So allgemein formuliert ist das falsch. Es gibt keine Garantie und es war afaik auch nicht durchgängig der Fall. Es gab Cryptolocker, die die Daten wieder entsperrten, aber das muss nicht immer so sein.

Klar gibt es keine Garantie. Aber was willst du machen? Sie verklagen? Die Daten sind weg, so oder so. Bezahlen ist die einzige Option auf Wiederbeschaffung, außer man hat Glück und jemand knackt die Verschlüsselung. Das ist aber, soweit ich weiß, bisher auch nur bei einer Ransomware der Fall gewesen.

Jup, die kriegt man dann wieder. Darum sagt in solchen Fällen auch die Polizei -> Wenn's wichtig ist, bezahlen.

Kann man abschätzen wieviele Kombinationen von Verschlüsselten Dateien und Decrypt-Schlüsseln man braucht um den dahinter stehenden Algorithmus zu knacken?

greetz
US

Klar gibt es keine Garantie. Aber was willst du machen? Sie verklagen? Die Daten sind weg, so oder so. Bezahlen ist die einzige Option auf Wiederbeschaffung, außer man hat Glück und jemand knackt die Verschlüsselung. Das ist aber, soweit ich weiß, bisher auch nur bei einer Ransomware der Fall gewesen.
Deine Aussage davor war halt absolut.
Und gibt ein paar mehr:
https://noransom.kaspersky.com/

Klar gibt es keine Garantie. Aber was willst du machen? Sie verklagen? Die Daten sind weg, so oder so. Bezahlen ist die einzige Option auf Wiederbeschaffung, außer man hat Glück und jemand knackt die Verschlüsselung. Das ist aber, soweit ich weiß, bisher auch nur bei einer Ransomware der Fall gewesen.

Naja Backup, die beste Methode. ;-)

Hab mal auf unseren Fileservern es untersagt das Dateien mit der Endung .WNCRY gespeichert werden dürfen, als zusätzlichen Schutz.

Kann man abschätzen wieviele Kombinationen von Verschlüsselten Dateien und Decrypt-Schlüsseln man braucht um den dahinter stehenden Algorithmus zu knacken?

Öh, in der Regel sind die mit Standard AES o.ä. verschlüsselt. Der Algorithmus ist da ziemlich egal, du brauchst den Schlüssel.

Naja Backup, die beste Methode. ;-)

Naja, "Offline-Backup"... in der Regel hat die Ransomware das Backup gleich mitverschlüsselt weil das halt auch nur ein Tool war, was per Netzwerkfreigabe Daten irgendwo hin kopiert hat.

Kopieren auf eine andere Netzwerkfreigabe ist aber jetzt nicht wirklich ein Backup.

Kopieren auf eine andere Netzwerkfreigabe ist aber jetzt nicht wirklich ein Backup.

Du glaubst gar nicht was viele als Backup ansehen. Kannst froh sein, wenn eine mittelständige Firma überhaupt ein Backup macht.

Ich war mal in einer, ich fragte nach dem Backupkonzept, da zeigt der auf eine billige externe Festplatte die am Server hängt.

In einer anderen Firma gab es mal einen Datenverlust aus Dummheit, ich sagte "Backup einspielen", am Telefon: "Ja, äh... die Putzfrau hat vor ner Woche die Festplatte vom Tisch geworfen".

_Das_ sind Backups von Unternehmen. Und WannaCry hätte nicht schon 30k $ eingenommen, wenn die Firmen Backups hätten.

Da ist eine Kopie vom lokalen PC auf eine Netzwerkfreigabe (Windows Backup-Style) schon ganz gute Vorgehen. Natürlich ist ein Offline-Backup eigentlich essentiell, aber das verlange mal von einer Firma die nicht mal eine IT-Person im Haus hat.

Kann man abschätzen wieviele Kombinationen von Verschlüsselten Dateien und Decrypt-Schlüsseln man braucht um den dahinter stehenden Algorithmus zu knacken?

Man ist sich bei AES und 256 Bit Schlüssellängen noch nicht sicher, ob genug Energie im Universum existiert, um einen einzigen Schlüssel zu brechen. AES selbst wird man eventuell nie brechen. Bei der Menge der Schlüssel weiß ich nicht so genau. Würde mich aber nicht wundern, wenn mehr Schlüssel existieren als Atome in unserem Universum.

Für AES-128 kann man hier Einschätzungen finden: https://blog.cr.yp.to/20151120-batchattacks.html

Mit handelsüblichen Rechnern würde das wahrscheinlich noch immer einige Billionen Jahre dauern. Um da überhaupt in die Nähe zu kommen, müsste man den gesamten Energieverbrauch der Menschheit dafür aufwenden.

AES-256 ist formal schwächer, als AES-128 (wegen einer Schwäche in der Schlüsselexpansion).
Für gewöhnlich greift man aber eh keine Verschlüsselung, sondern die Implementierung an. Auch bei den bisherigen Krypto-Trojanern hat man die Verschlüsselung anders gebrochen, als den Algorithmus selbst anzugreifen (insofern überhaupt sinnvoll verschlüsselt wurde). Z.B. da die Schlüsselgenerierung nicht so zufällig war, wie vom Author erhofft.

Ich bin aber bei dir mit der Aussage, dass zur Zeit niemand in annehmbarer Zeit AES-128 oder 256 brechen wird.

AES-256 ist formal schwächer, als AES-128 (wegen einer Schwäche in der Schlüsselexpansion).

Ich weiß, aber das hört sich immer so schön an. :^)

Ist beides eh außerhalb dessen, was sich irgendein Unternehmen (unabhängig von der Größe) leisten kann. Zeitlich und finanziell.

Man ist sich bei AES und 256 Bit Schlüssellängen noch nicht sicher, ob genug Energie im Universum existiert, um einen einzigen Schlüssel zu brechen. AES selbst wird man eventuell nie brechen. Bei der Menge der Schlüssel weiß ich nicht so genau. Würde mich aber nicht wundern, wenn mehr Schlüssel existieren als Atome in unserem Universum.

Für AES-128 kann man hier Einschätzungen finden: https://blog.cr.yp.to/20151120-batchattacks.html

Mit handelsüblichen Rechnern würde das wahrscheinlich noch immer einige Billionen Jahre dauern. Um da überhaupt in die Nähe zu kommen, müsste man den gesamten Energieverbrauch der Menschheit dafür aufwenden.

OK, ich hatte gedacht, es würde die Sache erleichtern, wenn man ein paar verschlüsselte Dateien sowie funktionierende Decrypt-Schlüssel hierfür hätte.

greetz
US

wie?? Ich hätte damit gerechnet, dass MS deutlichst kommuniziert welche BS besonders gefährdet sind und manuell nachgepatcht werden müssen.
Irgendwo haben die doch bestimmt eine Übersicht.

greetz
US
Übersicht gibt's hier:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Übersicht gibt's hier:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

also alle besonders gefährdet....

OK, ich hatte gedacht, es würde die Sache erleichtern, wenn man ein paar verschlüsselte Dateien sowie funktionierende Decrypt-Schlüssel hierfür hätte.

greetz
US
Wie geschrieben: Sinnvoller dürfte es sein, den Schlüsselgenerator anzugreifen.
Von daher können durchaus Dateien + Schlüssel sinnvoll sein. Bzw. hauptsächlich die Schlüssel halt.
Wenn man Glück hat nutzt der Generator halt schonmal nur <1% des möglichen Zeichensatzes oder so...

Der Schlüssel muss für jedes System extra generiert werden - und irgendwie müssen die Angreifer ihn über irgendwelche Merkmale bei Zahlungseingang rauskriegen können, um ihn dir weiter zu geben. Da ist meistens der Angriff am ehesten möglich.

Der Schlüssel muss für jedes System extra generiert werden - und irgendwie müssen die Angreifer ihn über irgendwelche Merkmale bei Zahlungseingang rauskriegen können, um ihn dir weiter zu geben. Da ist meistens der Angriff am ehesten möglich.
vorausgesetzt der Angreifer hat wirklich vor die verschlüsselten Systeme wider freizugeben, :freak:

also alle besonders gefährdet....
Nicht direkt. Das entsprechende Update wurde ja bei neueren Betriebsystemen schon vor Monaten verteilt. Mein Win7 Rechner in der Firma hatte es am 15.3. bekommen. Problem ist nur bei Windows XP/Server 2003 (die halt keine Updates mehr kriegen) und bei den Servern/Rechnern die keine automatischen Updates aktiviert haben.

Nicht direkt. Das entsprechende Update wurde ja bei neueren Betriebsystemen schon vor Monaten verteilt. Mein Win7 Rechner in der Firma hatte es am 15.3. bekommen. Problem ist nur bei Windows XP/Server 2003 (die halt keine Updates mehr kriegen) und bei den Servern/Rechnern die keine automatischen Updates aktiviert haben.

Aber wie gesagt: Wenn du z.B. auf die falsche Bewerbungsmail klickst bist du trotzdem dran.
Deswegen wäre es schon interessant beispiele dieser mails zu veröffentlichen.
Kommen die als Amazonwerbung? Oder "Tina will Dich kennenlernen" oder wie sehen die aus?

greetz
US

https://de.wikipedia.org/wiki/WannaCry

Jetzt waren es evventuell die Nordkoreaner, mit denen streitet man sich ja eh gerade, wie praktisch. Ach Beweise gibt es noch gar nicht? Das schafft ihr schon ...

http://www.spiegel.de/netzwelt/web/wannacry-attacke-steckt-nordkorea-hinter-dem-hack-a-1147859.html

Aber immer schön das es sofort "Experten" gibt, die was zu sagen haben. Egal ob Hacks, Terrorismus, .. was auch immer, es gibt "Experten".
Wieso kann man diese nicht einfach mal beim Namen nennen oder sagen was diese zu einem "Experten" macht?

Steht in deiner Quelle..

https://twitter.com/msuiche/status/864179805402607623

Eventuell sollte man dann nicht gleich vergessen das Wanna Cry auf einer Lücke basiert, welche die NSA ausgenutzt hat und versucht hat aus eigenen Interessen unter Verschluss zu halten.. hat nicht geklappt, dank den Shadow Brokern.
Also wenn man es nun ganz genau nimmt, basiert Wanna Cry eigentlich auf einer Exploit der USA.. ;)

Die Frage ist aber wer den Finger am Abzug hatte

Ich denke die Frage ist eher wer diese Sicherheitslücke solange der Allgemeinheit vorenthalten hat und genau dieses Risiko eingegangen ist, dass so etwas passiert.
Und das ist genau das, was auch Brad Smith von Microsoft richtig bemängelt:

https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/#sm.0001by3nsvs4gf46s0s130vlyptox

Microsoft ist wahrlich nicht mein Lieblingsladen, aber damit hat er absolut recht. Was die USA und speziell die NSA und auch andere Geheimdienste (Hallo BND) da abzieht ist grob fahrlässig und geht gar nicht.

vorausgesetzt der Angreifer hat wirklich vor die verschlüsselten Systeme wider freizugeben, :freak:
Latürnich. Davon sollte man in so Fällen ausgehen. Aus einem recht simplen Grund:
Jeder Krypto-Trijaner, der gegen Zahlung nicht wieder entschlüsselt wird reduziert den potentiellen Kundenstamm, da die Kunden lernen, dass die Zahlung nichts bringt.
Es geht sogar soweit, dass betroffene, die schonmal gezahlt haben, bei erneuter Infektion oder Nachfolgemalware vom selben Distributor kostenfrei ihre Entschlüsselungskeys bekommen.

Zu der Frage mit der NSA und so:
Es ist so, dass die Sicherheitslücke wohl ca. 3 Jahre unter Verschluss gehalten wurde. Im März schon gepatched wurden alle Systeme, die zu dem Zeitpunkt (also im März) unter Support standen. Also Vista SP2(3?), 7 SP1, 8.1 und 10. Die anfälligen Systeme standen auch nicht mehr unter Support.
Was hätte sich geändert, wenn die Sicherheitslücke nicht 3 Jahre gedeckelt worden wäre? Bei XP garnichts, Vista ohne SP, 7 ohne SP, 8, 8.1 und 10 wären - insofern existent - vor 3 Jahren gepatched worden (und auch alle Nachfolgeversionen mit SPs). Weil sie damals noch unter Support standen.

Ich gehe auch davon aus, dass die Kunden, die mit Microsoft abweichende Support-Verträge hatten den Patch erhalten haben. Ich kann mir nicht vorstellen, dass Microsoft den Patch so schnell auf XP backporten konnte. Von daher war er wohl schon vorhanden und wurd' lediglich für alle freigegeben.

Diese Diskussion darum, wer mehr Schuld hat, ist doch Schwachsinn.
Geheimdienste machen ihren Job und sind dabei wie immer große Arschlöcher, das ist keine neue Erkenntnis. Ob man Geheimdienste braucht, die so agieren, wie sie aktuell agieren, könnte man diskutieren aber dann eher wohl im geschlossenen PoWi.

Über Microsoft muss man aktuell schmunzeln, weil sie in der Vergangenheit mit der NSA zusammengearbeitet haben (oder mussten), bzw. das sicher nicht zu ihrem Nachteil war und jetzt die Opferrolle einnehmen.

@Sven77: Jeder und niemand. Das hätte jeder in dem Stil so machen können, der das notwendige Wissen dazu hat.

Was mich aber interessieren würde: Seit wann ist Lazarus von Nordkorea gesteuert? Das war für mich immer eine selbst agierende Truppe. Mal davon abgesehen sich Lazarus nicht mit Peanuts zufrieden gäbe..

Diese Diskussion darum, wer mehr Schuld hat, ist doch Schwachsinn.
Geheimdienste machen ihren Job und sind dabei wie immer große Arschlöcher, das ist keine neue Erkenntnis. Ob man Geheimdienste braucht, die so agieren, wie sie aktuell agieren, könnte man diskutieren aber dann eher wohl im geschlossenen PoWi.



Dazu, ob Geheimdienste oder sonstige staatliche Behörden dies (Sicherheitslücken nicht kaufen / ausnutzen/ nicht melden / ..) tun und tun dürfen sollen, hätte ich auch eine eindeutige Meinung und diverse Argumente vorzubringen.

_Jedoch_ einmal angenommen, dass wir in einer Welt leben, in der alle zu dem Schluss gekommen sind, dass dies die beste Lösung ist, sollte es jedoch ein paar Richtlinien geben, die sich mMn von selbst ergeben:

Von Geheimdienstes verwendete Exploits müssen nach einer gewissen Zeit (z.B. 1-3 Jahre) dem Hersteller gemeldet werden.
Auch nicht verwendete (insbesonderes angekaufte) Exploits müssen nach einer gewissen Zeit (5 Jahre?) gemeldet werden.

Begründung:
-> Unabhängig davon, ob die NSA einen Exploit findet, steigt über die Jahre die Chance, dass jemand Unerwünschtes den Exploits findet
-> In dem Moment, wo jemand anders den Exploit anwendet, hat die NSA mehrere Probleme:
a) der Exploit ist jetzt wertlos
b) eventuell noch laufende oder in letzter Zeit durchgeführte Attacken werden mit wesentlich höherer Wahrscheinlichkeit entdeckt
b1) dabei werden eventuell auch andere verwendete Exploits u.ä. der NSA entdeckt
b11) und eventuell ohne das sie dies bemerken können
c) die NSA hat in diesem Punkt versagt, die eigenen Bürger zu beschützen
-> Bei "exclusiv" gekauften Exploits gibt es das Risiko, dass der Exploit trotzdem mehrfach verkauft wird
-> Dieses Risiko ist umso höher, je länger das Datum des Kaufs zurückliegt (plausibler, dass jemand anderes den Exploit gefunden hat)
-> Wichtigster Punkt: Ein Exploit im Einsatz wird früher oder später entdeckt. Daher hier weniger Zeit.

Unerwünscht in den Stichpunkten fasst alle "feindlichen" Gruppen aus Sicht einer staatlichen Behörde zusammen, also hauptsächlich
andere Geheimdienste & Kriminelle.

https://pbs.twimg.com/media/DACSWZDXkAAHlgN.jpg
quelle: fefe, bzw: https://twitter.com/fztalks/status/864852163230609408
Zum Stichwort Ransomware und Support

:ugly:

Seit wann ist Lazarus von Nordkorea gesteuert? .

Saddam Chemiewaffen 2.0...

https://github.com/aguinet/wannakey

Von der oben verlinkten Seite:
This software allows to recover the prime numbers of the RSA private key that are used by Wanacry.

It does so by searching for them in the wcry.exe process. This is the process that generates the RSA private key.
Die Erfolgschance ist nicht besonders groß, aber... es wird der Schlüsselgenerator angegriffen und nicht die Verschlüsselung selbst...

Viel wichtiger: This software has only been tested and known to work under Windows XP. In order to work, your computer must not have been rebooted after being infected.

Hier mal die Verteilung der betroffenen OS Versionen.

http://abload.de/img/damyyygwaaadad91js5z.jpg

https://www.theverge.com/2017/5/19/15665488/wannacry-windows-7-version-xp-patched-victim-statistics

Was natürlich sehr interessant ist. Ich vermute mal es liegt entweder daran, dass viel Windows 7 Embedded im Umlauf ist was eher selten gepatcht wird. Und/oder viele Leute haben die Updates unter Windows 7 abgeschaltet weil svchost.exe sich einen Prozessorkern krallt und Updates trotzdem nicht installiert werden.

Oder das sind die ganzen Pre-Cracked Drauf-Und-Glücklich Installationen.

Embedded ohne Updates (oder generell Windows ohne Updates) könnte doch gut hinkommen. Ich bin diese Woche ein bisschen durch NRW gegurkt und da habe ich haufenweise Anzeigetafeln mit WannaCry gesehen. Alle hatten die Windows-7-Taskleiste.

Einige scheint die Ransomware darauf scheinbar nicht einmal zu stören. Bei einigen Anzeigetafeln der Bahn blitzt das Fenster nur kurz auf, wenn neue Züge chronologisch nachrücken. Danach wechselt der Fokus sofort wieder zur normalen Anzeige und WannaCry hängt wieder im Hintergrund.

Was natürlich sehr interessant ist. Ich vermute mal es liegt entweder daran, dass viel Windows 7 Embedded im Umlauf ist was eher selten gepatcht wird. Und/oder viele Leute haben die Updates unter Windows 7 abgeschaltet weil svchost.exe sich einen Prozessorkern krallt und Updates trotzdem nicht installiert werden.
Genau. Wir haben einige Windows 7 Rechner in der Firma, die vor monaten plötzliuch garnicht mehr updaten gingen, bzw. nach Tagen immer noch sich tot suchten und alle Möglichkeiten nicht funktioniert haben die Updates zu installieren.

Zumindest haben wir diese Woche dann versucht bei allen Rechnern, die das entsprechende Update nicht hatten dies manuell zu installieren. Aber was ich nicht genau weiß, hilft dieses Update nur nicht, dass das Ding sich automatisch weiterverbreitet oder funktioniert das Ding dann auch nicht mehr?

Btw. hatten wir das schon?

7cUL1HKfTK0

Oder das sind die ganzen Pre-Cracked Drauf-Und-Glücklich Installationen.


Korrekt. In Schwellen- und Entwicklungsländern werden die PCs exakt so verkauft. Gecracktes Windows mit deaktivierten Updates.

Ironie dabei: Es gibt ausreichend Cracks, auf denen auch Sicherheitsudates problemlos laufen. Das ganze ist nur eine unnötige Vorsichtsmaßnahme der Einzelhändler, welche sich peinliche Rückfragen bei Problemen ersparen wollen.

Btw. hatten wir das schon?

Clickbait. Dass WINE auch Windows-Viren ausführt ist hinreichend bekannt. Und "Escaped" ist auch Käse, da WINE keine Sandbox ist. Jeder WINE Prozess läuft mit Nutzerrechten mit kompletten Zugriff auf alle Nutzerdaten.