zola10
20.06.2018
view4176
view13
0
Goto Top

Wannacry - Malwarebytes

gelöstFrageMicrosoftWindows Tools
Hallo,

unser Kunde hat mehrere VMs (Win2012R2) im Einsatz die vom Wannacry Virus betroffen sind. Meine Frage ist erkennt Malwarebytes den Virus ?

Habe auf meiner Festplatte Kaspersky & Malewarebytes

Lg

Alex
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 377606

Url: https://administrator.de/contentid/377606

Ausgedruckt am: 24.11.2024 um 23:11 Uhr

13 Kommentare
Neuester Kommentar
Goto Top
brammer
Lösung brammer 20.06.2018 um 16:08:38 Uhr
Goto Top
Hallo,

mal abgesehen davon das Wannacry kein Virus ist sondern als Wurm eingestuft wurde.....

Ein suche auf der Herstellerseite hätte dich der Lösung näher gebracht ....

https://blog.malwarebytes.com/detections/ransom-wannacrypt/

brammer
Lochkartenstanzer
Lösung Lochkartenstanzer 20.06.2018 aktualisiert um 16:30:45 Uhr
Goto Top
Zitat von @ZOLA10:

Hallo,

unser Kunde hat mehrere VMs (Win2012R2) im Einsatz die vom Wannacry Virus betroffen sind. Meine Frage ist erkennt Malwarebytes den Virus ?

Im Prinzip ja. Es sei denn, es ist eine neue Mutation im Umlauf.

Habe auf meiner Festplatte Kaspersky & Malewarebytes

Und was nutzt das dem Kunden?

Was ist eigentlich das Ziel Deiner Frage?

  • Ob Malwarebytes wannycry wieder runterwerfen kann? Im Prinzip ja, aber die Systeme sind nciht mehr Vertrauenswürdig.

  • Ob er seine Daten retten kann? Ja, wenn er sein Backup einspielt.

  • Ober er die VMs weiternutzen kann? Nein, denn die sind kompromittiert.


lks
ZOLA10
ZOLA10 20.06.2018 um 16:24:50 Uhr
Goto Top
Unser Kunde hat uns beauftragt den Wannacry von den VMs zu entfernen.

* Ober er die VMs weiternutzen kann? Nein, denn die sind kompromittiert.


Was wäre dann die Alternative ?

lg
brammer
brammer 20.06.2018 um 16:29:22 Uhr
Goto Top
Hallo,

eurer Kunde sollte sich überlegen ob er den richtigen Dienstleister hat.....

Ein kompromittierte Umgebung wird entsorgt und durch eine saubere ersetzt...

brammer
Lochkartenstanzer
Lochkartenstanzer 20.06.2018 um 16:30:08 Uhr
Goto Top
Zitat von @ZOLA10:

* Ober er die VMs weiternutzen kann? Nein, denn die sind kompromittiert.

Was wäre dann die Alternative ?

Saubere Backups einspielen oder neu aufsetzen.

lks
Th0mKa
Th0mKa 20.06.2018 um 16:30:16 Uhr
Goto Top
Zitat von @ZOLA10:

Was wäre dann die Alternative ?

Die einzig verlässliche Lösung ist die VMs neu zu machen.

/Thomas
departure69
Lösung departure69 20.06.2018 um 16:36:11 Uhr
Goto Top
Hallo.

Wer betreut den Kunden? Ich meine damit, wer betreut ihn laufend? Ich frage deshalb, weil speziell zu WannaCry bekannt ist, daß dieser Wurm dann nicht erfolgreich sein konnte, wenn in dem Vormonat, bevor WannaCry erstmals aufgetaucht ist, die Updates zum Microsoft-Patchday eingespielt wurden. Und das war schon irgendwann in 2017 oder sogar schon in 2016 (weiß es jetzt nicht genau).

Wenn Dein Kunde erst jetzt einen WannyCry-Befall verzeichnet, dann haben dessen Server entweder speziell die vorgenannten Updates in dem Monat nicht erhalten, in dem sie erschienen sind, oder seitdem gar keine Updates mehr. Entweder stimmt dann was mit dem Patchmanagement nicht (WSUS oder irgendeine andere Lösung), oder es gibt gar keine Methode zum regelmäßigen Patchen bei dem Kunden.

Neben der aktuellen Problembehebung, zu der Du ja weiter oben schon Antworten bekommen hast, würde ich bei dem Kunden für die Zukunft dringend dafür sorgen, daß solche Updatelücken nicht wieder auftreten. Ich weiß, es gibt Updatemuffel, und ich weiß auch, daß Microsoft mit seinen Updates, seit 3-4 Jahren leider häufiger, auch mal Mist baut, aber über längere Zeit (also länger als jeglicher Test von Updates dauern dürfte) darf das Patchen nicht ausbleiben, finde ich.


Viele Grüße

von

departure69
chgorges
chgorges 20.06.2018 aktualisiert um 22:56:30 Uhr
Goto Top
Zitat von @departure69:
Und das war schon irgendwann in 2017 oder sogar schon in 2016 (weiß es jetzt nicht genau).

März 2017 kamen die MS-Patches. Und das ist wieder der beste Beweis , dass es einfach lokal und global zu viele schlechte Wald und Wiesen Dienstleister und Admins gibt, dass dieser gottverdammte Virus Mitte 2018 unmutiert immer noch ausbrechen kann...

Wie man den verlässlich wegbekommt? Backups einspielen oder alles neu aufsetzen. Aber wenn man es nichtmal schafft, Updates einzuspielen, wird es zu 99% auch keine Backups geben..
Th0mKa
Th0mKa 20.06.2018 um 23:01:19 Uhr
Goto Top
Zitat von @chgorges:
Backups einspielen oder alles neu aufsetzen.

Das Problem beim einspielen von Backups ist halt das man nicht weiß wie lange der Wurm schon geschlafen hat bevor er aktiv wurde. Man weiß also nicht welches Backup sauber ist und welches nicht.

/Thomas
goscho
goscho 21.06.2018 um 08:04:25 Uhr
Goto Top
Moin
Zitat von @chgorges:

Zitat von @departure69:
Und das war schon irgendwann in 2017 oder sogar schon in 2016 (weiß es jetzt nicht genau).

März 2017 kamen die MS-Patches. Und das ist wieder der beste Beweis , dass es einfach lokal und global zu viele schlechte Wald und Wiesen Dienstleister und Admins gibt, dass dieser gottverdammte Virus Mitte 2018 unmutiert immer noch ausbrechen kann...
Ich gebe dir ja prinzipiell Recht, aber wir wissen nicht, wie die Situation bei diesem Kunden ist. Kann ja auch sein, dass der Kunde alles selbst macht (oder nicht macht) und sich nur bei Problemen an seinen Dienstleister wendet.
Wenn natürlich der Dienstleister in einem Forum so nachfragen muss, wie er gegen Wannacry vorzugehen hat:
Zitat von @ZOLA10:
Meine Frage ist erkennt Malwarebytes den Virus ?
Habe auf meiner Festplatte Kaspersky & Malewarebytes

dann ist das schlicht ein Armutszeugnis für ihn.
kgborn
kgborn 21.06.2018 um 19:16:54 Uhr
Goto Top
Nur mal so - der OP hat sich ja nicht mehr mit Details geoutet. Aber das hier macht die Runde:
[https://twitter.com/MalwareTechBlog/status/1009829653589028864
https://twitter.com/MalwareTechBlog/status/1009829653589028864]

Vielleicht für den einen oder anderen Admin ganz nützlich zu wissen.
Lochkartenstanzer
Lochkartenstanzer 21.06.2018 um 19:20:59 Uhr
Goto Top
Zitat von @kgborn:

Nur mal so - der OP hat sich ja nicht mehr mit Details geoutet. Aber das hier macht die Runde:
[https://twitter.com/MalwareTechBlog/status/1009829653589028864
https://twitter.com/MalwareTechBlog/status/1009829653589028864]

Vielleicht für den einen oder anderen Admin ganz nützlich zu wissen.


Nunja, als Admin sollte man recht schnell merken, ob es ein "echter" oder ein "fake"-Wannacry-befall ist. face-smile

lks
kgborn
kgborn 21.06.2018 um 20:04:41 Uhr
Goto Top
D'accord - aber die Schrecksekunden ließe sich abkürzen, wenn man so was im Hinterkopf hat und gezielt checkt 'kann das zutreffen'. Und zur Kernaussage: Nun ja, gibt wohl Admins, die erst noch groß werden wollen.

PS: Ich sehe mich nicht als Admin face-wink
gelöstFrageMicrosoftWindows Tools
Mehr von ZOLA10ZOLA10Server-Manager aktualisiert nicht!ZOLA10 - 4 KommentareZOLA10Der Kerberos-Client hat einen KRB AP ERR MODIFIED Fehler von ServerZOLA10 - 5 KommentareZOLA10Vsphere Client 5.5 (Leistungsdiagramm anpassen)ZOLA10 - 1 KommentarZOLA10Netzwerkausfall, Redundanzverlust VMZOLA10 - 3 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 11 KommentareDarkened1645Bildqualität der Windows Remotedesktop-Sitzung verbessernDarkened1645 - 11 KommentareZZaaiiggaaDigitales Archiv - wie?ZZaaiiggaa - 11 Kommentare