{"id":11270,"date":"2017-06-27T23:33:44","date_gmt":"2017-06-27T21:33:44","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=11270"},"modified":"2017-06-27T23:33:44","modified_gmt":"2017-06-27T21:33:44","slug":"gegenmassnahmen-gegen-petya","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=11270","title":{"rendered":"Gegenma\u00dfnahmen gegen &#8222;Petya&#8220;"},"content":{"rendered":"<p>Momentan scheint sich eine neue Angriffswelle mit einem Verschl\u00fcsselungstrojaner abzuspielen. Dieser Beitrag zeigt, was im Moment bekannt ist, um sich dagegen zu sch\u00fctzen.<\/p>\n<p><!--more--><\/p>\n<p>Die neue Version des Kryptotrojaners &#8222;Petja&#8220; scheint sich zum einen \u00fcber die &#8222;Eternal Blue&#8220;-Sicherheitsl\u00fccke zu verbreiten, die bereits &#8222;WannaCry&#8220; benutzt hat. Es ist nicht nachzuvollziehen, wieso es im Netz immer noch Systeme gibt, die diese L\u00fccke aufweisen, aber die erste Gegenma\u00dfnahme sollte sein, die Rechner auf den aktuellen Patchstand (MS17-010) zu bringen. Im Idealfall sollte dar\u00fcber hinaus SMBv1 im ganzen Netz komplett deaktiviert werden (<a href=\"https:\/\/support.microsoft.com\/en-us\/help\/2696547\/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows\">https:\/\/support.microsoft.com\/en-us\/help\/2696547\/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows<\/a>).<\/p>\n<p>Leider reicht das nicht aus, da sich die Ransomware, wenn sie einmal Fu\u00df gefasst hat, mit Hilfe der Tools &#8222;WMIC&#8220; und &#8222;PSEXEC&#8220; im Netz weiter zu verbreiten scheint. Deswegen ist es sinnvoll, den Dienst &#8222;Windows-Verwaltungsinstrumentation&#8220; zu beenden und zu deaktivieren. Diese Ma\u00dfnahme kann nur tempor\u00e4r sein, da von diesem Dienst wichtige andere Services abh\u00e4ngen k\u00f6nnen.<\/p>\n<p>Au\u00dferdem soll es helfen, im Windows-Verzeichnis Dateien mit dem Namen &#8222;perfc&#8220; und\/oder &#8222;perfc.dat&#8220; (<a href=\"https:\/\/twitter.com\/0xAmit\/status\/879778335286452224\">https:\/\/twitter.com\/0xAmit\/status\/879778335286452224<\/a>) anzulegen, da die Ransomware in diesen Dateien versucht, Daten abzulegen. In diesem Zusammenhang ist es wichtig, den neu angelegten Files das Attribut &#8222;Read-only&#8220; mitzugeben, damit die Ransomware sie nicht \u00fcberschreiben kann (siehe Screenshot). Wenn diese Dateien existieren, sollte &#8222;Petya&#8220; nicht in der Lage sein, zu laufen. Falls sich neue Erkenntnisse ergeben, werde ich sie hier anh\u00e4ngen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Momentan scheint sich eine neue Angriffswelle mit einem Verschl\u00fcsselungstrojaner abzuspielen. Dieser Beitrag zeigt, was im Moment bekannt ist, um sich<\/p>\n","protected":false},"author":3,"featured_media":11271,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[4,37,6],"tags":[9840,9696,9835,9836,9834,9838,5432,3437,552,6267,9839,9571,344,9837],"class_list":["post-11270","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","category-security","category-tipps","tag-attrib","tag-eternal-blue","tag-perfc","tag-perfce-dat","tag-petya","tag-psexec","tag-ransomware","tag-smb","tag-trojaner","tag-verschlusselung","tag-verwaltungsinstrumentation","tag-wannacry","tag-windows","tag-wmic"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11270","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=11270"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11270\/revisions"}],"predecessor-version":[{"id":11272,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11270\/revisions\/11272"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/11271"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=11270"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=11270"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=11270"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}