Thema: Wannacry-Hintergründe

erstellt am: 16.05.2017 09:36

Antworten: 0

nicht registrierter User


Wannacry-Hintergründe
16.05.2017 09:36

Das Perfide an WannaCry ist, dass die Schadsoftware eine Schwachstelle in Microsofts „Server Message Block (SMB) Protocol“ ausnutzt, um sich wurmartig weiter zu verbreiten und etliche andere Computersysteme zu infizieren. Auf diese Weise erreichte WannaCry erst den sehr hohen, weltweiten Verbreitungsgrad. WannaCry setzt auf das veraltete Windows XP Betriebssystem, das immer noch häufig anzutreffen ist. Ursprünglich stellte Microsoft als Hersteller keine Sicherheitsupdates mehr für Windows XP bereit, änderte dies jedoch hastig, nachdem WannaCry einen solchen Erfolg aufweisen konnte.

Hornetsecurity Advanced Threat Protection (ATP) hat die neuartig auftretende Ransomware bereits beim ersten Auftreten durch dynamische Pattern Analysen in der Sandbox erkannt und unter Quarantäne gestellt. Weitere Analysen von WannaCry durch die Security-Spezialisten von Hornetsecurity ergaben, dass die Software eine DOUBLEPULSAR Backdoor Variante installiert, mit der sie schadhaften Code einschleust. Anschließend verschlüsselt das Programm die unterschiedlichsten Dateien und versieht diese mit der zusätzlichen Dateiendung .wncry, also zum Beispiel die Datei finanzen.xlsx in finanzen.xlsx.wncry. Die Dateien sind für den Benutzer damit unbrauchbar. Gleichzeitig werden Infizierte Hosts Teil eines Botnetzes, das aus dem TOR Netzwerk gesteuert wird.

Hornetsecurity empfiehlt die folgenden Maßnahmen, um sich vor einer Infektion zu schützen: Unternehmen und Personen, die noch das Betriebssystem Windows XP nutzen, sollten unbedingt den von Microsoft bereitgestellten Patch verwenden und das System aktualisieren. Besser noch ist ein Schwenk auf neuere Betriebssysteme mit aktiven Sicherheitsupdates (mindestens MS17-010). Zudem sollten Unternehmen ihre Firewall dahingehend anpassen, um den eingehenden SMB Traffic an Port 445 sowie den ausgehenden TOR Traffic im Unternehmensnetz zu blockieren. Generell raten die Sicherheitsexperten von Hornetsecurity, E-Mails mit Rechnungen genauestens zu überprüfen und und in solchen E-Mails verlinkte Office-, Skript- oder ausführbare Dateien (portable executable, PE) vor dem Öffnen mindestens mit dem Virusscanner zu überprüfen. Mit dem URL Rewriting und URL Scanning bietet Hornetsecurity ATP einen Service für die tiefgehende Analyse von URLs in E-Mails - als Rundumschutz vor neuartigen Gefahren.

Antworten

Antwort schreiben

Titel:


Nachricht:

 




Thema abonnieren:

Email:
*Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung und AGB einverstanden.
Antwort abschicken