Back

Experten-FAQ: Was Sie über WannaCry wissen müssen

30. Mai 2017  
In der vergangenen Woche hat die Cyberkriminalität ein neues erschreckendes Ausmaß erreicht. Mehr als 100 Organisationen wurden von der besonders hartnäckigen Ransomware mit dem Namen WannaCry angegriffen. Bei WannaCry handelt es sich um einen Malware-Typen (d.h. ein Virus), der die Dateien eines Anwenders still und heimlich verschlüsselt (z.B. MS Office-Dateien, PDF-Dateien, Musik-/Video-/Fotodateien, etc.). Eine Nachricht auf dem Monitor zeigt dann an, dass der Decryption Key erst nach der Zahlung einer Geldsumme zur Verfügung gestellt wird. 

Klingt boshaft und das ist es auch. Unsere Endpoint Management-Experten haben zusammengefasst, was zu tun ist und wie man auf diesen jüngsten Ransomware-Angriff reagieren sollten.

Im FAQ-Stil haben unsere Experten alle relevanten Informationen über WannaCry gesammelt und erläutern, wie Autotask Endpoint Management helfen kann und was zu tun ist, wenn Sie oder Ihre Kunden betroffen sind. 

F: Was ist das Besondere an WannaCry im Vergleich zu anderen Ransomware-Viren und wie konnte sich das so schnell verbreiten? 

A: Die meisten Ransomwares infizieren ihre Ziele durch die Verwendung von „Phishing“ E-Mails, um den User zum Klicken auf einen Link und die Installation einer Datei zu bewegen. Es ist eine sehr effektive Methode, jedoch beschränkt sich die Infizierung auf das genutzte Gerät. WannaCry ist anders, denn es ähnelt einem Computerwurm. Ein „Wurm“ ist ein Typ Malware, der sich über ein ganzes Netzwerk ausbreiten kann, indem er sich auf andere Geräte repliziert. In der Regel nutzt er Sicherheitslücken in Betriebssystemen oder in Applikationen aus. Dies ist der Grund, warum wir "Patches" und "Updates" haben, um diese Schwachstellen zu beheben. WannaCry bedient sich einer geleakten Schadsoftware der NSA mit dem Namen EternalBlue, die eine Sicherheitslücke für die erste Version des Protokolls SMB (Server Message Block) ausnutzt. Diese Schadsoftware verbreitet sich sehr schnell über Unternehmensnetzwerke, verschlüsselt die Dateien auf jedem angreifbaren Windows-Gerät und fordert eine Zahlung, um die Decryption Keys zur Verfügung zu stellen. 

F: Welche Geräte sind anfälliger und welche sind sicher?

A: Windows Betriebssysteme ab 8.0 und höher für Desktops und Windows Server 2012 und Nachfolgeprodukte haben die EternalBlue Anfälligkeit in ihrer Implementierung der SMB v1 nicht und sind daher nicht von der Verbreitung des WannaCry-Virus betroffen. Die Betriebssysteme, die vorher auf den Markt gekommen sind (Windows 7 und ältere für Desktops und Server 2008 und vorherige), sind potentiell gefährdet. Beachten Sie, dass wir über die Gefährdung durch die Verbreitung von WannaCry sprechen, nicht von dem direkten Angriff durch den Virus. Ein Windows 10-Gerät ist genauso anfällig für WannaCry wie ein Windows XP Rechner, wenn der Virus direkt ausgeführt wird. Aus diesem Grund empfehlen wir die Verwendung eines widerstandsfähigen Antivirus-Programms, welches regelmäßige Updates der Virensignaturen durchführt, sowie regelmäßige Windows-Updates als Bestandteil Ihrer Sicherheitsstrategie.

F: Was kann getan werden, um eine Verbreitung zu verhindern?

A: Microsoft hat im März 2017 ein Patch zum Download zur Verfügung gestellt, speziell für die Betriebssysteme (Windows 7 SP1 und weitere für Desktop, Server 2008 und ältere für Server), die von der Sicherheitslücke betroffen sind. Neben der Beseitigung der EternalBlue-Anfälligkeit gibt es in diesem Patch weitere Optimierungen und Fehlerkorrekturen, die eine hohe Priorität haben. Solange Ihr Sicherheitspatching auf dem neusten Stand ist, sind Sie vor der Verbreitung geschützt.

Außerdem hat Microsoft auch Patches speziell für die Sicherheitslücken in den Betriebssystemen XP und 2003 veröffentlicht. Es wird dringend empfohlen, dass das SMB v1 Protokoll auf allen Geräten deaktiviert wird, die über eine Netzwerkverbindung verfügen. SMB v1 wurde längst durch die SMB Versionen 2 und 3 ersetzt. Die Funktion kann durch eine kleine Änderung in der Registry entfernt werden. Bitte beachten Sie, dass Windows Server 2003 nur SMB v1 unterstützt. 

F: Wie können Sie Autotask Endpoint Management nutzen, um Fehler zu beheben und die Dateien Ihrer Kunden zu schützen?

A: Autotask Endpoint Management verfügt über umfassende Patch Management-Funktionen, die genaue Kontrolle und exaktes Management im Hinblick auf die Geräte der Kunden ermöglichen. Eine Patch Management-Strategie, die eine Reihe von Patch Management-Richtlinien beinhaltet, ist eine hervorragende und widerstandsfähige Lösung für das Problem des zentral gemanagten Patchings. Erstellen Sie einfach individuell Richtlinien, die auf die entsprechenden Endgeräte angepasst sind, mit einer automatischer Genehmigung für bestimmte Kategorie-Typen der Sicherheitsupdates und für weitere unverzichtbare Updates (Definitionsupdates, sollten Sie die Defender Antiviren-Lösung von Microsoft nutzen). Wir raten Ihnen sicherzustellen, dass Ihre Geräte mit Ihren Patchings auf dem neuesten Stand der Technik sind und alle Geräte, die es nicht sind, sofort zu patchen und das Gerät danach direkt zu rebooten. Die Autotask Endpoint Management Online-Hilfeseite verfügt über eine hervorragende Patch Management-Richtliniendokumentation. 

Als Reaktion auf die WannaCry-Bedrohung, haben wir eine spezielle Komponente im ComStore mit dem Namen WannaCry Protection Windows Updates veröffentlicht. Die aktuelle Version, die mit einem „v2“ versehen ist, stellt explizite Konfigurationsoptionen zur Verfügung, um den Reboot der Endgeräte zu kontrollieren und ebenso um SMB v1 zu deaktivieren.

F: Wie sollten Sie handeln, wenn Sie vom Virus betroffen sind und all Ihre Daten verschlüsselt wurden? 

A: Wenn Sie eine belastbare Backup-Strategie haben, die „Versionskontrolle" nutzt, können Sie einfach zu einer unverschlüsselten vorherigen Kopie Ihrer Daten zurückkehren. Autotask Endpoint Backup ist eine automatisierte Backup-Lösung, die über diese Funktion verfügt. Sollte Ihre Backup-Lösung die „Versionskontrolle“ nicht anbieten, gibt es leider kaum Rettung für Ihre Daten. Es wird dringend empfohlen, das Lösegeld nicht zu zahlen.

Trending Posts
Folgen Tweets