{"id":338,"date":"2017-05-16T16:12:49","date_gmt":"2017-05-16T14:12:49","guid":{"rendered":"http:\/\/iscweb.de\/de\/?p=338"},"modified":"2017-10-24T14:03:32","modified_gmt":"2017-10-24T12:03:32","slug":"wanna-cry-gefahr-nicht-nur-fuer-aeltere-winxp-pcs-u-small-business-server","status":"publish","type":"post","link":"https:\/\/iscweb.de\/de\/wanna-cry-gefahr-nicht-nur-fuer-aeltere-winxp-pcs-u-small-business-server\/","title":{"rendered":"WANNA CRY &#8211; Gefahr nicht nur f\u00fcr \u00e4ltere WinXP PCs u. Small Business Server"},"content":{"rendered":"<p>Die Schadsoftware &#8222;Wanna Cry&#8220;, ein Erpressungstrojaner, der Dateien verschl\u00fcsselt und nur gegen eine L\u00f6segeldzahlung wieder freigibt, hat sich nicht nur rasend schnell verbreitet, sondern auch schon hunderttausende Computer weltweit lahmgelegt.<br \/>\nDie Hauptwelle wurde geistesgegenw\u00e4rtig von einem jungen Briten gestoppt, der herausgefunden hatte, da\u00df die Software eine Abfrage an 2 bestimmte Dom\u00e4nen absetzt, bevor sie t\u00e4tig wird. Erh\u00e4lt die Software eine Antwort stoppt sie ihr Vorhaben.<br \/>\nDie beiden Dom\u00e4nen sind:<br \/>\nwww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com<br \/>\nwww.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com<br \/>\nSeine Geistesgegenwart bestand darin, da\u00df er diese im Internet nicht existierenden Dom\u00e4nen sofort selbst registrierte und einen Webserver aktivierte, der eine Antwort lieferte. Dadurch kam die Angriffswelle relativ schnell zum stehen. Hut ab !<\/p>\n<p>Also Achtung ! Man sollte NICHT wie sonst \u00fcblich f\u00fcr einen verd\u00e4chtigen Rechner gleich das Internet sperren !<\/p>\n<p>Mittlerweile hat man relativ genau herausgefunden wie &#8222;Wanna Cry&#8220; funktioniert und anhand der f\u00fcr die Verschl\u00fcsselung benutzten Zertifikate den starken Verdacht, da\u00df die Urheber Hacker sind, die mit Nordkorea in Verbindung stehen.<\/p>\n<p>Ist die Gefahr nun vorbei ? Nein. &#8222;Wanna Cry&#8220; hat die Sicherheitsl\u00fccke jetzt bekannt gemacht. Wer sie nicht schlie\u00dft l\u00e4uft Gefahr das Opfer von Trittbrettfahrern in naher Zukunft zu werden. Es gibt offensichtlich schon jetzt mehrere Versionen.<\/p>\n<p>&#8222;Wanna Cry&#8220; kopiert folgende Dateien auf einen infizierten Rechner:<br \/>\n%SystemRoot%\\mssecsvc.exe (%SystemRoot% = Windows Verzeichnis)<br \/>\n%SystemRoot%\\tasksche.exe<br \/>\n%SystemRoot%\\qeriuwjhrf<br \/>\nb.wnry<br \/>\nc.wnry<br \/>\nf.wnry<br \/>\nr.wnry<br \/>\ns.wnry<br \/>\nt.wnry<br \/>\nu.wnry<br \/>\ntaskdl.exe<br \/>\ntaskse.exe<br \/>\n00000000.eky<br \/>\n00000000.res<br \/>\n00000000.pky<br \/>\n@WanaDecryptor@.exe<br \/>\n@Please_Read_Me@.txt<br \/>\nm.vbs<br \/>\n@WanaDecryptor@.exe.lnk<br \/>\n@WanaDecryptor@.bmp<br \/>\n274901494632976.bat<br \/>\ntaskdl.exe<br \/>\nTaskse.exe<br \/>\nFiles with \u201c.wnry\u201d extension<br \/>\nFiles with \u201c.WNCRY\u201d extension<\/p>\n<p>Wenn Sie also diese Dateien auf Ihrer Festplatte finden ist Ihr Rechner vermutlich infiziert aber der Trojaner evtl. noch nicht aktiv. Also einfach sofort Netzstecker ziehen und vom Fachmann pr\u00fcfen lassen. (Nicht herunterfahren!)<\/p>\n<p>Wenn Sie neuere Betriebssysteme haben, aber nicht alle Updates installiert haben. Insbesondere nicht die, von M\u00e4rz, April und Mai, dann unterst\u00fctzt Ihr neueres System u.U. das SMBv1 Protokoll (Client oder Server) \u00fcber das sich &#8222;Wanna Cry&#8220; im Netz zu verbreiten versucht. <a href=\"https:\/\/www.google.de\/url?sa=t&amp;rct=j&amp;q=&amp;esrc=s&amp;source=web&amp;cd=1&amp;cad=rja&amp;uact=8&amp;ved=0ahUKEwjZkoO2vPTTAhWEJsAKHcd0BJAQFggtMAA&amp;url=https%3A%2F%2Fsupport.microsoft.com%2Fde-de%2Fhelp%2F2696547%2Fhow-to-enable-and-disable-smbv1%2C-smbv2%2C-and-smbv3-in-windows-vista%2C-windows-server-2008%2C-windows-7%2C-windows-server-2008-r2%2C-windows-8%2C-and-windows-server-2012&amp;usg=AFQjCNHDX_4q1VKlRpbXRjJ_6Bcr9tcwqQ\" target=\"_blank\">Hier<\/a>\u00a0finden Sie die Anleitung von Microsoft zum deaktivieren von SMBv1.<br \/>\nSMB kommuniziert auf dem TCP-Port 445. Dieser Port sollte in der Firewall &#8222;eingehend&#8220; und\u00a0&#8222;ausgehend&#8220; sowieso geschlossen sein, was er aber in vielen F\u00e4llen nicht ist.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Schadsoftware &#8222;Wanna Cry&#8220;, ein Erpressungstrojaner, der Dateien verschl\u00fcsselt und nur gegen eine L\u00f6segeldzahlung wieder freigibt, hat sich nicht nur rasend schnell verbreitet, sondern auch schon hunderttausende Computer weltweit lahmgelegt&#8230;..<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11],"tags":[],"_links":{"self":[{"href":"https:\/\/iscweb.de\/de\/wp-json\/wp\/v2\/posts\/338"}],"collection":[{"href":"https:\/\/iscweb.de\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/iscweb.de\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/iscweb.de\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/iscweb.de\/de\/wp-json\/wp\/v2\/comments?post=338"}],"version-history":[{"count":3,"href":"https:\/\/iscweb.de\/de\/wp-json\/wp\/v2\/posts\/338\/revisions"}],"predecessor-version":[{"id":341,"href":"https:\/\/iscweb.de\/de\/wp-json\/wp\/v2\/posts\/338\/revisions\/341"}],"wp:attachment":[{"href":"https:\/\/iscweb.de\/de\/wp-json\/wp\/v2\/media?parent=338"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/iscweb.de\/de\/wp-json\/wp\/v2\/categories?post=338"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/iscweb.de\/de\/wp-json\/wp\/v2\/tags?post=338"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}