Wannacry - Malwarebytes

Hallo,

unser Kunde hat mehrere VMs (Win2012R2) im Einsatz die vom Wannacry Virus betroffen sind. Meine Frage ist erkennt Malwarebytes den Virus ?

Habe auf meiner Festplatte Kaspersky & Malewarebytes

Lg

Alex

Content-Key: 377606

Url: https://administrator.de/contentid/377606

Ausgedruckt am: 23.10.2021 um 04:10 Uhr

Mitglied: brammer
Lösung brammer 20.06.2018 um 16:08:38 Uhr
Goto Top
Hallo,

mal abgesehen davon das Wannacry kein Virus ist sondern als Wurm eingestuft wurde.....

Ein suche auf der Herstellerseite hätte dich der Lösung näher gebracht ....

https://blog.malwarebytes.com/detections/ransom-wannacrypt/

brammer
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 20.06.2018 aktualisiert um 16:30:45 Uhr
Goto Top
Zitat von @ZOLA10:

Hallo,

unser Kunde hat mehrere VMs (Win2012R2) im Einsatz die vom Wannacry Virus betroffen sind. Meine Frage ist erkennt Malwarebytes den Virus ?

Im Prinzip ja. Es sei denn, es ist eine neue Mutation im Umlauf.

Habe auf meiner Festplatte Kaspersky & Malewarebytes

Und was nutzt das dem Kunden?

Was ist eigentlich das Ziel Deiner Frage?

  • Ob Malwarebytes wannycry wieder runterwerfen kann? Im Prinzip ja, aber die Systeme sind nciht mehr Vertrauenswürdig.

  • Ob er seine Daten retten kann? Ja, wenn er sein Backup einspielt.

  • Ober er die VMs weiternutzen kann? Nein, denn die sind kompromittiert.


lks
Mitglied: ZOLA10
ZOLA10 20.06.2018 um 16:24:50 Uhr
Goto Top
Unser Kunde hat uns beauftragt den Wannacry von den VMs zu entfernen.

* Ober er die VMs weiternutzen kann? Nein, denn die sind kompromittiert.


Was wäre dann die Alternative ?

lg
Mitglied: brammer
brammer 20.06.2018 um 16:29:22 Uhr
Goto Top
Hallo,

eurer Kunde sollte sich überlegen ob er den richtigen Dienstleister hat.....

Ein kompromittierte Umgebung wird entsorgt und durch eine saubere ersetzt...

brammer
Mitglied: Lochkartenstanzer
Lochkartenstanzer 20.06.2018 um 16:30:08 Uhr
Goto Top
Zitat von @ZOLA10:

* Ober er die VMs weiternutzen kann? Nein, denn die sind kompromittiert.

Was wäre dann die Alternative ?

Saubere Backups einspielen oder neu aufsetzen.

lks
Mitglied: Th0mKa
Th0mKa 20.06.2018 um 16:30:16 Uhr
Goto Top
Zitat von @ZOLA10:

Was wäre dann die Alternative ?

Die einzig verlässliche Lösung ist die VMs neu zu machen.

/Thomas
Mitglied: departure69
Lösung departure69 20.06.2018 um 16:36:11 Uhr
Goto Top
Hallo.

Wer betreut den Kunden? Ich meine damit, wer betreut ihn laufend? Ich frage deshalb, weil speziell zu WannaCry bekannt ist, daß dieser Wurm dann nicht erfolgreich sein konnte, wenn in dem Vormonat, bevor WannaCry erstmals aufgetaucht ist, die Updates zum Microsoft-Patchday eingespielt wurden. Und das war schon irgendwann in 2017 oder sogar schon in 2016 (weiß es jetzt nicht genau).

Wenn Dein Kunde erst jetzt einen WannyCry-Befall verzeichnet, dann haben dessen Server entweder speziell die vorgenannten Updates in dem Monat nicht erhalten, in dem sie erschienen sind, oder seitdem gar keine Updates mehr. Entweder stimmt dann was mit dem Patchmanagement nicht (WSUS oder irgendeine andere Lösung), oder es gibt gar keine Methode zum regelmäßigen Patchen bei dem Kunden.

Neben der aktuellen Problembehebung, zu der Du ja weiter oben schon Antworten bekommen hast, würde ich bei dem Kunden für die Zukunft dringend dafür sorgen, daß solche Updatelücken nicht wieder auftreten. Ich weiß, es gibt Updatemuffel, und ich weiß auch, daß Microsoft mit seinen Updates, seit 3-4 Jahren leider häufiger, auch mal Mist baut, aber über längere Zeit (also länger als jeglicher Test von Updates dauern dürfte) darf das Patchen nicht ausbleiben, finde ich.


Viele Grüße

von

departure69
Mitglied: chgorges
chgorges 20.06.2018 aktualisiert um 22:56:30 Uhr
Goto Top
Zitat von @departure69:
Und das war schon irgendwann in 2017 oder sogar schon in 2016 (weiß es jetzt nicht genau).

März 2017 kamen die MS-Patches. Und das ist wieder der beste Beweis , dass es einfach lokal und global zu viele schlechte Wald und Wiesen Dienstleister und Admins gibt, dass dieser gottverdammte Virus Mitte 2018 unmutiert immer noch ausbrechen kann...

Wie man den verlässlich wegbekommt? Backups einspielen oder alles neu aufsetzen. Aber wenn man es nichtmal schafft, Updates einzuspielen, wird es zu 99% auch keine Backups geben..
Mitglied: Th0mKa
Th0mKa 20.06.2018 um 23:01:19 Uhr
Goto Top
Zitat von @chgorges:
Backups einspielen oder alles neu aufsetzen.

Das Problem beim einspielen von Backups ist halt das man nicht weiß wie lange der Wurm schon geschlafen hat bevor er aktiv wurde. Man weiß also nicht welches Backup sauber ist und welches nicht.

/Thomas
Mitglied: goscho
goscho 21.06.2018 um 08:04:25 Uhr
Goto Top
Moin
Zitat von @chgorges:

Zitat von @departure69:
Und das war schon irgendwann in 2017 oder sogar schon in 2016 (weiß es jetzt nicht genau).

März 2017 kamen die MS-Patches. Und das ist wieder der beste Beweis , dass es einfach lokal und global zu viele schlechte Wald und Wiesen Dienstleister und Admins gibt, dass dieser gottverdammte Virus Mitte 2018 unmutiert immer noch ausbrechen kann...
Ich gebe dir ja prinzipiell Recht, aber wir wissen nicht, wie die Situation bei diesem Kunden ist. Kann ja auch sein, dass der Kunde alles selbst macht (oder nicht macht) und sich nur bei Problemen an seinen Dienstleister wendet.
Wenn natürlich der Dienstleister in einem Forum so nachfragen muss, wie er gegen Wannacry vorzugehen hat:
Zitat von @ZOLA10:
Meine Frage ist erkennt Malwarebytes den Virus ?
Habe auf meiner Festplatte Kaspersky & Malewarebytes

dann ist das schlicht ein Armutszeugnis für ihn.
Mitglied: kgborn
kgborn 21.06.2018 um 19:16:54 Uhr
Goto Top
Nur mal so - der OP hat sich ja nicht mehr mit Details geoutet. Aber das hier macht die Runde:
[https://twitter.com/MalwareTechBlog/status/1009829653589028864
https://twitter.com/MalwareTechBlog/status/1009829653589028864]

Vielleicht für den einen oder anderen Admin ganz nützlich zu wissen.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 21.06.2018 um 19:20:59 Uhr
Goto Top
Zitat von @kgborn:

Nur mal so - der OP hat sich ja nicht mehr mit Details geoutet. Aber das hier macht die Runde:
[https://twitter.com/MalwareTechBlog/status/1009829653589028864
https://twitter.com/MalwareTechBlog/status/1009829653589028864]

Vielleicht für den einen oder anderen Admin ganz nützlich zu wissen.


Nunja, als Admin sollte man recht schnell merken, ob es ein "echter" oder ein "fake"-Wannacry-befall ist. :-) face-smile

lks
Mitglied: kgborn
kgborn 21.06.2018 um 20:04:41 Uhr
Goto Top
D'accord - aber die Schrecksekunden ließe sich abkürzen, wenn man so was im Hinterkopf hat und gezielt checkt 'kann das zutreffen'. Und zur Kernaussage: Nun ja, gibt wohl Admins, die erst noch groß werden wollen.

PS: Ich sehe mich nicht als Admin ;-) face-wink
Heiß diskutierte Beiträge
question
Einfache Software für MitarbeiterinformationichbinwerichbinVor 1 TagFrageZusammenarbeit9 Kommentare

Guten Morgen Ich lese hier schon seit Jahren und bräuchte jetzt mal einen Hinweis. Ich weiss nicht ob Fragen nach Software beantwortet werden (Werbung?) aber ...

question
Netzwerk Neuaufbau - DHCP - VLANs gelöst SommelierVor 1 TagFrageWindows Server17 Kommentare

Hallo zusammen! Wir ziehen gerade unser Netzwerk neu auf, und ich wollte mir bei euch Rat einholen. Wir wollen verschiedene VLANs anlegen: Printer (172.16.20.0/24) Windowsumgebung ...

question
Netzwerkplan u. Kabelbelegung zeichnen? gelöst McLionVor 19 StundenFrageNetzwerke11 Kommentare

Hallo zusammen, ich suche irgendein Tool (am besten Open Source) um Netzwerkpläne zu zeichnen. Diese gibt es zwar wie Sand am Meer, aber mir geht's ...

question
Gefahren durch Nutzung von EOL Smartphones (end of life support)nachgefragtVor 20 StundenFrageSicherheit13 Kommentare

Hallo Administratoren, weil Freitag ist erlaube ich mir die Frage (brainstorming): Welche Gefahren hinsichtlich IT-Sicherheit und Datenschutz seht ihr bei der Nutzung von (eol) Smartphones, ...

question
Nebenstellenkreis von 2stellig auf 3stellig - was geschieht mit den bisherigen Rufnummerndeparture69Vor 23 StundenFrageTK-Netze & Geräte13 Kommentare

Hallo. Bei uns besteht für 2022 die Anforderung, deutlich mehr Bürotelefone in Einsatz zu bringen. Die Anzahl der Nebenstellen ist vertragsseitig derzeit aber auf 100 ...

question
Standort vs. Standort gelöst erikroVor 1 TagFrageWindows Server8 Kommentare

Moin, Hintergrund der Frage ist, dass ich für ein PS-Skript auf dem RDS wissen muss, wo der Client steht. Ich hatte zuerst die Idee, das ...

question
HA Konstrukt für Firmennetzwerk mit mehreren WAN VerbindungenITAllrounderVor 1 TagFrageLAN, WAN, Wireless19 Kommentare

Guten Morgen zusammen, ich stehe gerade vor der Überlegung unser Firmen Netzwerk etwas umzustrukturieren. Aktuell primäres Problem: Wir haben theoretisch 2x Sophos XG310 (nur 1x ...

question
Mitarbeiter Onboarding Trainings Program on Premise gelöst MineralwasserVor 1 TagFrageSonstige Systeme3 Kommentare

Guten Nachmittag Kennt jemand ein gutes Programm das als Web-Service läuft, jedoch am besten nicht in der Cloud um die Mitarbeiter zu schulen. Also wenn ...