Wannacry - Malwarebytes

Hallo,

unser Kunde hat mehrere VMs (Win2012R2) im Einsatz die vom Wannacry Virus betroffen sind. Meine Frage ist erkennt Malwarebytes den Virus ?

Habe auf meiner Festplatte Kaspersky & Malewarebytes

Lg

Alex

Content-Key: 377606

Url: https://administrator.de/contentid/377606

Ausgedruckt am: 05.12.2021 um 18:12 Uhr

Mitglied: brammer
Lösung brammer 20.06.2018 um 16:08:38 Uhr
Goto Top
Hallo,

mal abgesehen davon das Wannacry kein Virus ist sondern als Wurm eingestuft wurde.....

Ein suche auf der Herstellerseite hätte dich der Lösung näher gebracht ....

https://blog.malwarebytes.com/detections/ransom-wannacrypt/

brammer
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 20.06.2018 aktualisiert um 16:30:45 Uhr
Goto Top
Zitat von @ZOLA10:

Hallo,

unser Kunde hat mehrere VMs (Win2012R2) im Einsatz die vom Wannacry Virus betroffen sind. Meine Frage ist erkennt Malwarebytes den Virus ?

Im Prinzip ja. Es sei denn, es ist eine neue Mutation im Umlauf.

Habe auf meiner Festplatte Kaspersky & Malewarebytes

Und was nutzt das dem Kunden?

Was ist eigentlich das Ziel Deiner Frage?

  • Ob Malwarebytes wannycry wieder runterwerfen kann? Im Prinzip ja, aber die Systeme sind nciht mehr Vertrauenswürdig.

  • Ob er seine Daten retten kann? Ja, wenn er sein Backup einspielt.

  • Ober er die VMs weiternutzen kann? Nein, denn die sind kompromittiert.


lks
Mitglied: ZOLA10
ZOLA10 20.06.2018 um 16:24:50 Uhr
Goto Top
Unser Kunde hat uns beauftragt den Wannacry von den VMs zu entfernen.

* Ober er die VMs weiternutzen kann? Nein, denn die sind kompromittiert.


Was wäre dann die Alternative ?

lg
Mitglied: brammer
brammer 20.06.2018 um 16:29:22 Uhr
Goto Top
Hallo,

eurer Kunde sollte sich überlegen ob er den richtigen Dienstleister hat.....

Ein kompromittierte Umgebung wird entsorgt und durch eine saubere ersetzt...

brammer
Mitglied: Lochkartenstanzer
Lochkartenstanzer 20.06.2018 um 16:30:08 Uhr
Goto Top
Zitat von @ZOLA10:

* Ober er die VMs weiternutzen kann? Nein, denn die sind kompromittiert.

Was wäre dann die Alternative ?

Saubere Backups einspielen oder neu aufsetzen.

lks
Mitglied: Th0mKa
Th0mKa 20.06.2018 um 16:30:16 Uhr
Goto Top
Zitat von @ZOLA10:

Was wäre dann die Alternative ?

Die einzig verlässliche Lösung ist die VMs neu zu machen.

/Thomas
Mitglied: departure69
Lösung departure69 20.06.2018 um 16:36:11 Uhr
Goto Top
Hallo.

Wer betreut den Kunden? Ich meine damit, wer betreut ihn laufend? Ich frage deshalb, weil speziell zu WannaCry bekannt ist, daß dieser Wurm dann nicht erfolgreich sein konnte, wenn in dem Vormonat, bevor WannaCry erstmals aufgetaucht ist, die Updates zum Microsoft-Patchday eingespielt wurden. Und das war schon irgendwann in 2017 oder sogar schon in 2016 (weiß es jetzt nicht genau).

Wenn Dein Kunde erst jetzt einen WannyCry-Befall verzeichnet, dann haben dessen Server entweder speziell die vorgenannten Updates in dem Monat nicht erhalten, in dem sie erschienen sind, oder seitdem gar keine Updates mehr. Entweder stimmt dann was mit dem Patchmanagement nicht (WSUS oder irgendeine andere Lösung), oder es gibt gar keine Methode zum regelmäßigen Patchen bei dem Kunden.

Neben der aktuellen Problembehebung, zu der Du ja weiter oben schon Antworten bekommen hast, würde ich bei dem Kunden für die Zukunft dringend dafür sorgen, daß solche Updatelücken nicht wieder auftreten. Ich weiß, es gibt Updatemuffel, und ich weiß auch, daß Microsoft mit seinen Updates, seit 3-4 Jahren leider häufiger, auch mal Mist baut, aber über längere Zeit (also länger als jeglicher Test von Updates dauern dürfte) darf das Patchen nicht ausbleiben, finde ich.


Viele Grüße

von

departure69
Mitglied: chgorges
chgorges 20.06.2018 aktualisiert um 22:56:30 Uhr
Goto Top
Zitat von @departure69:
Und das war schon irgendwann in 2017 oder sogar schon in 2016 (weiß es jetzt nicht genau).

März 2017 kamen die MS-Patches. Und das ist wieder der beste Beweis , dass es einfach lokal und global zu viele schlechte Wald und Wiesen Dienstleister und Admins gibt, dass dieser gottverdammte Virus Mitte 2018 unmutiert immer noch ausbrechen kann...

Wie man den verlässlich wegbekommt? Backups einspielen oder alles neu aufsetzen. Aber wenn man es nichtmal schafft, Updates einzuspielen, wird es zu 99% auch keine Backups geben..
Mitglied: Th0mKa
Th0mKa 20.06.2018 um 23:01:19 Uhr
Goto Top
Zitat von @chgorges:
Backups einspielen oder alles neu aufsetzen.

Das Problem beim einspielen von Backups ist halt das man nicht weiß wie lange der Wurm schon geschlafen hat bevor er aktiv wurde. Man weiß also nicht welches Backup sauber ist und welches nicht.

/Thomas
Mitglied: goscho
goscho 21.06.2018 um 08:04:25 Uhr
Goto Top
Moin
Zitat von @chgorges:

Zitat von @departure69:
Und das war schon irgendwann in 2017 oder sogar schon in 2016 (weiß es jetzt nicht genau).

März 2017 kamen die MS-Patches. Und das ist wieder der beste Beweis , dass es einfach lokal und global zu viele schlechte Wald und Wiesen Dienstleister und Admins gibt, dass dieser gottverdammte Virus Mitte 2018 unmutiert immer noch ausbrechen kann...
Ich gebe dir ja prinzipiell Recht, aber wir wissen nicht, wie die Situation bei diesem Kunden ist. Kann ja auch sein, dass der Kunde alles selbst macht (oder nicht macht) und sich nur bei Problemen an seinen Dienstleister wendet.
Wenn natürlich der Dienstleister in einem Forum so nachfragen muss, wie er gegen Wannacry vorzugehen hat:
Zitat von @ZOLA10:
Meine Frage ist erkennt Malwarebytes den Virus ?
Habe auf meiner Festplatte Kaspersky & Malewarebytes

dann ist das schlicht ein Armutszeugnis für ihn.
Mitglied: kgborn
kgborn 21.06.2018 um 19:16:54 Uhr
Goto Top
Nur mal so - der OP hat sich ja nicht mehr mit Details geoutet. Aber das hier macht die Runde:
[https://twitter.com/MalwareTechBlog/status/1009829653589028864
https://twitter.com/MalwareTechBlog/status/1009829653589028864]

Vielleicht für den einen oder anderen Admin ganz nützlich zu wissen.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 21.06.2018 um 19:20:59 Uhr
Goto Top
Zitat von @kgborn:

Nur mal so - der OP hat sich ja nicht mehr mit Details geoutet. Aber das hier macht die Runde:
[https://twitter.com/MalwareTechBlog/status/1009829653589028864
https://twitter.com/MalwareTechBlog/status/1009829653589028864]

Vielleicht für den einen oder anderen Admin ganz nützlich zu wissen.


Nunja, als Admin sollte man recht schnell merken, ob es ein "echter" oder ein "fake"-Wannacry-befall ist. :-) face-smile

lks
Mitglied: kgborn
kgborn 21.06.2018 um 20:04:41 Uhr
Goto Top
D'accord - aber die Schrecksekunden ließe sich abkürzen, wenn man so was im Hinterkopf hat und gezielt checkt 'kann das zutreffen'. Und zur Kernaussage: Nun ja, gibt wohl Admins, die erst noch groß werden wollen.

PS: Ich sehe mich nicht als Admin ;-) face-wink
Heiß diskutierte Beiträge
general
Zur AdventszeitAnkhMorporkVor 1 TagAllgemeinHumor (lol)2 Kommentare

Wer es nicht kennt, sollte es kennen lernen (mMn): Viel Spaß, jede Diskussion überflüssig Ankh ...

question
Google-Konto: PW-Rücksetzung funktioniert nichtmrserious73Vor 1 TagFrageE-Mail14 Kommentare

Hallo zusammen, habe hier gerade einen merkwürdigen Fall: Habe ein gmail-Konto, für das das Passwort nicht mehr bekannt ist. Da das Konto in Thunderbird gespeichert ...

question
Pfsense sinnvoll in Umgebung einbindendertowaVor 1 TagFrageLAN, WAN, Wireless8 Kommentare

Hallo zusammen, ich grüble schon länger über eine saubere Möglichkeit zur Integration der pfsense, da ich mich damit auch gern mal beschäftigen möchte. Aktuell habe ...

question
Einstreuung - Fremdspannung im Netzwerkkabel kompensieren2U1C1D3Vor 16 StundenFrageNetzwerkgrundlagen10 Kommentare

Hallo zusammen! Ich muss bei einer Netzwerkinstallation zu einem Client ein Spezialkabel mit einbinden. Die vollständige Installation ist CAT6, 1000BaseT, das Spezialkabel ist aber nur ...

question
Apps auf dem PC wie auf dem Handy in OrdnernDavidH01Vor 1 TagFrageEntwicklung2 Kommentare

Hallo. Weiß jemand ob es möglich ist auf Windows einen Ordner zu erstellen in dem Apps sind, so wie auf dem Handy? Wenn man z.B. ...

general
Downloadportal gesuchtdeethreeVor 11 StundenAllgemeinCloud-Dienste4 Kommentare

Guten Morgen, hat jemand eine kostenfreie / kostenfplichtige Empfehlung für diese Anforderung: Im Zuge von Corona müssen wir pro Kunde zwei Dokumente bereitstellen und dieser ...

general
Ticket System Open Source SolutionmannixdVor 20 StundenAllgemeinWebentwicklung4 Kommentare

Hallo zusammen, ich stehe vor folgendem Problem, bzw. hätte gern ein paar Ratschläge. Unser Kunde möchte ein Ticket-System (Help-Desk) Solution. Das ganze möchte der Kunde ...

question
Namen für Patchfeld Jacks als Kupplung gesucht gelöst StefanKittelVor 7 StundenFrageNetzwerke5 Kommentare

Hallo, bei einem Kunden kommt man bei einem 19" NetzwerkSchrank weder über die Rückseite noch üer die Seiten an die Rückseite der Geräte. Nun suche ...