Wannacry - Malwarebytes

Im Prinzip ja. Es sei denn, es ist eine neue Mutation im Umlauf.


Und was nutzt das dem Kunden?

Was ist eigentlich das Ziel Deiner Frage?

• Ob Malwarebytes wannycry wieder runterwerfen kann? Im Prinzip ja, aber die Systeme sind nciht mehr Vertrauenswürdig.

• Ob er seine Daten retten kann? Ja, wenn er sein Backup einspielt.

• Ober er die VMs weiternutzen kann? Nein, denn die sind kompromittiert.

lks

Hallo,

eurer Kunde sollte sich überlegen ob er den richtigen Dienstleister hat.....

Ein kompromittierte Umgebung wird entsorgt und durch eine saubere ersetzt...

brammer

Saubere Backups einspielen oder neu aufsetzen.

lks

Die einzig verlässliche Lösung ist die VMs neu zu machen.

/Thomas

Hallo.

Wer betreut den Kunden? Ich meine damit, wer betreut ihn laufend? Ich frage deshalb, weil speziell zu WannaCry bekannt ist, daß dieser Wurm dann nicht erfolgreich sein konnte, wenn in dem Vormonat, bevor WannaCry erstmals aufgetaucht ist, die Updates zum Microsoft-Patchday eingespielt wurden. Und das war schon irgendwann in 2017 oder sogar schon in 2016 (weiß es jetzt nicht genau).

Wenn Dein Kunde erst jetzt einen WannyCry-Befall verzeichnet, dann haben dessen Server entweder speziell die vorgenannten Updates in dem Monat nicht erhalten, in dem sie erschienen sind, oder seitdem gar keine Updates mehr. Entweder stimmt dann was mit dem Patchmanagement nicht (WSUS oder irgendeine andere Lösung), oder es gibt gar keine Methode zum regelmäßigen Patchen bei dem Kunden.

Neben der aktuellen Problembehebung, zu der Du ja weiter oben schon Antworten bekommen hast, würde ich bei dem Kunden für die Zukunft dringend dafür sorgen, daß solche Updatelücken nicht wieder auftreten. Ich weiß, es gibt Updatemuffel, und ich weiß auch, daß Microsoft mit seinen Updates, seit 3-4 Jahren leider häufiger, auch mal Mist baut, aber über längere Zeit (also länger als jeglicher Test von Updates dauern dürfte) darf das Patchen nicht ausbleiben, finde ich.


Viele Grüße

von

departure69

März 2017 kamen die MS-Patches. Und das ist wieder der beste Beweis , dass es einfach lokal und global zu viele schlechte Wald und Wiesen Dienstleister und Admins gibt, dass dieser gottverdammte Virus Mitte 2018 unmutiert immer noch ausbrechen kann...

Wie man den verlässlich wegbekommt? Backups einspielen oder alles neu aufsetzen. Aber wenn man es nichtmal schafft, Updates einzuspielen, wird es zu 99% auch keine Backups geben..

Das Problem beim einspielen von Backups ist halt das man nicht weiß wie lange der Wurm schon geschlafen hat bevor er aktiv wurde. Man weiß also nicht welches Backup sauber ist und welches nicht.

/Thomas

Moin
Ich gebe dir ja prinzipiell Recht, aber wir wissen nicht, wie die Situation bei diesem Kunden ist. Kann ja auch sein, dass der Kunde alles selbst macht (oder nicht macht) und sich nur bei Problemen an seinen Dienstleister wendet.
Wenn natürlich der Dienstleister in einem Forum so nachfragen muss, wie er gegen Wannacry vorzugehen hat:

dann ist das schlicht ein Armutszeugnis für ihn.

Nur mal so - der OP hat sich ja nicht mehr mit Details geoutet. Aber das hier macht die Runde:
[https://twitter.com/MalwareTechBlog/status/1009829653589028864
https://twitter.com/MalwareTechBlog/status/1009829653589028864]

Vielleicht für den einen oder anderen Admin ganz nützlich zu wissen.

Nunja, als Admin sollte man recht schnell merken, ob es ein "echter" oder ein "fake"-Wannacry-befall ist.

lks