Wie wir unsere Kunden vor der WannaCry Ransomware schützen

Seit dem 12. Mai 2017 ist eine extrem ansteckende Malware names WCry 2.0 (auch bekannt als WannaCry, WanaCrypt0r, WannaCrypt) im Umlauf. Innerhalb weniger Stunden waren mehr als 75.000 Systeme weltweit infiziert. Derzeit ist von wenigstens 230.000 Infektionen die Rede. Unter den berichteten Opfern befinden sich u.a. wenigstens 16 britische Krankenhäuser, der spanische Telekommunikationsanbieter Telefonica, die Deutsche Bahn AG und auch Ministerien der Russischen Federation.

Bei WannaCry handelt es sich um einen sog. Kryptotrojaner, der infizierte Systeme verschlüsselt und dann ein Lösegeld fordert, um diesen wieder nutzbar zu machen. Zur infektion wird die Sicherheitslücke MS17-010 ausgenutzt. Die Infektion kann auf mehreren Wegen erfolgen:

  • ohne Zutun eines Benutzers durch die Ausnutzung bekannter Sicherheitslücken in Microsoft Windows Systemen
  • über E-Mails, die per Link auf eine Website verweist, welche das aufrufende Windows-System infiziert
  • über einen bereits infizierten Rechner im lokalen Netzwerk, der selbständig ohne Zutun eines Benutzers weitere Systeme infiziert

Die gute Nachricht ist, dass die von uns selbst und bei unseren Kunden eingesetzten Produkte einen wirksamen Schutz bieten – und das nicht erst jetzt, wo Updates vorliegen, die die bentutzten Windows-Sicherheitslücken schließen und Antivirenhersteller passende Udpates zur Erkennung verteilen.

Ein paar Beispiele:

  • Malwarebytes schützt Organisationen vor dieser speziellen Ransomware Variante. Unsere Anti-Ransomware Technologie nutzt einen spezialisierten Echtzeit-Erkennungs- und Sperrmechanismus, welcher ununterbrochen auf Ransomware Verhalten, wie das von WanaCrypt0r, prüft..“
    MB&T ist Malwarebytes-Partner und rät Kunden dringend zum Einsatz der Malwarebytes Endpoint Security. Die verhaltensbasiert arbeitenden Produkte dieser Lösung erkennen auffällige Aktionen und sperren entsprechende Programme. Damit sichern sie Systeme zuverlässig auch vor bislang noch unbekannten Schädlingen.
  • Der Watchguard APT Blocker erkennt alle bislang aufgetauchten Varianten von WannaCry. Das verhaltensbasierte Sandbox-Verfahren des APT Blockers ist als Erweiterung des Gateway Antivirus (GAV) lizenzierbar (welcher selbst bereits viele Varianten eigenständig erkennt) und schützt vor dateibasierten Infektionen in Mails, HTTP, FTP, etc. (ggf. werden SSL-Zertifikate und Deep Packet Inspection für TLS-abgesicherte Verbindungen benötigt).
  • Der Watchguard Intrusion Prevention Service (IPS) kann die interne Ausbreitung (auch z.B. in Verbdindungen von Mobile VPN Nutzern) verhindern, da er mit den Signaturen 1133635, 1133636, 1133637 und 1133638 die Ausnutzung der von der NSA geleakten Sicherheitslücken erkennt und die Verbindung blockt.

Tipps für alle Anwender / Administratoren:

  • Halten Sie Ihre Windows-Systeme auf Stand und installieren Sie alle vorliegenden Sicherheitspatches. Microsoft hat inzwichen reagiert und stellt über das Windows Update einen Patch der Sicherheitslücke für anfällige Systeme bereit. Obwohl diese Systeme offiziell nicht mehr unterstützt werden, hat Microsoft auch für Windows XP und Windows Server 2003 entsprechende Patches bereitgestellt!
    Denken Sie nach der Installation und dem ggf. benötigten Neustart daran die Suche nach Updates erneut durchzuführen, bis angezeigt wird, dass keine weiteren Sicherheitsupdates vorliegen. Wiederholen Sie den Vorgang ggf.
  • Vielfach sind in Produktionsumgebungen noch alte, nicht mehr offiziell unterstützte Systeme wie Windows XP und Server 2003 im Einsatz. Ist ein Upgrade / eine Außer-Dienst-Stellung dieser Systeme nicht möglich, besprechen Sie mit uns Maßnahmen diese systematisch weitestgehend zu schützen.
  • Sie sind sich nicht sicher, ob Ihre Endpoint Security Lösung (aka Antiviren-Software) und die Konfiguration Ihrer Firewall Sie optimal schützen? Wir schauen uns mit Ihnen gerne Ihre IT-Landschaft und Systeme an und beraten Sie unverbindlich.

Sprechen Sie uns an: