it-swarm.com.de

Was passiert, wenn Sie WannaCry nach der Installation der erforderlichen Patches ausführen?

Ich verstehe, dass WannaCry sich durch die Ausnutzung der SMBv1-Sicherheitsanfälligkeit verbreitet, die durch den Patch MS17-010 behoben wird.

Bedeutet dies, dass WannaCry auch mit dem installierten Patch den Computer infizieren kann - wenn der Benutzer ihn herunterlädt und ausführt -, sich aber nicht über das Computernetzwerk verbreitet?

Blockiert Windows Defender/eine aktuelle Sicherheitssoftware die Ausführung von WannaCry, wenn beispielsweise ein Benutzer sie ausführt?

65
Lh Lee

Wenn Sie WannaCry herunterladen und ausführen, werden Ihre Dateien weiterhin gesperrt und es wird versucht, andere nicht gepatchte Computer im Netzwerk zu infizieren.

WannaCry benötigt nur den Exploit SMB), um in ein System zu gelangen, nicht um herauszukommen. Sobald es die Kontrolle über Ihr System hat Das System benötigt keinen Exploit, um beliebigen Code, einschließlich des Wurms, auszuführen. Der Patch MS17-010 schützt Ihren Computer vor einer Infektion durch diesen Exploit, verhindert jedoch nicht, dass Ihr Computer andere Computer im selben Netzwerk infiziert, wenn diese anderen Maschinen sind nicht gepatcht.

Um andere Computer im Netzwerk zu schützen, müssen Sie den gesamten ausgehenden Datenverkehr zu Port 445 blockieren. Ich habe (noch) nicht gesehen, dass WannaCry versucht, einen blockierten ausgehenden Port zu umgehen.

Es gibt verschiedene Varianten von WannaCry. Diese scheinen alle von der wichtigsten Antivirensoftware, einschließlich Windows Defender, erkannt zu werden. Sie können eine vollständige Liste der Antivirensoftware anzeigen, die eine bestimmte Version von Virus Total erkennt, z. für dieses Beispiel . comae.io scheint eine anständige Zusammenstellung von in freier Wildbahn gefundene Varianten zu haben, die Sie suchen nach auf Virus Total können.

95
knbk

Es gibt zwei Akteure bei der Verteidigung gegen WannaCry.

Auf der einen Seite gibt es Microsoft, das dafür verantwortlich ist, den wurmartigen Ausbreitbarkeitsmodus zu beheben, die Sicherheitslücke MS17-010 zu nutzen und die von den Shadow Brokers veröffentlichten Exploits EternalBlue und DouplePulsar zu verwenden.

Auf der anderen Seite gibt es Antiviren-Anbieter, die ihre Signaturen aktualisieren müssen, um das System tatsächlich zu schützen.

Wenn Sie also die Patches installieren (vermutlich beziehen Sie sich auf die Patches von Microsoft), schützen Sie Ihr Netzwerk unter dem Gesichtspunkt, dass Sie nicht zulassen, dass sich die Malware über MS17-010 verbreitet. Sie benötigen jedoch noch ein aktualisiertes Antivirenprogramm, um die Dateien in Ihrem System zu schützen.

UPDATE

Der Vollständigkeit halber kann WannaCry, wie knbk in seiner Antwort hervorhob, andere Computer im Netzwerk infizieren, ohne MS17-010 auszunutzen. Dies wäre möglich, wenn diese Computer gemeinsam genutzte Volumes mit dem infizierten Host haben. Wenn dies jedoch nicht der Fall ist, verwendet WannaCry den Exploit, um sich horizontal im Netzwerk zu bewegen und so mehr Computer zu erreichen. Genau dieses wurmartige Verhalten hat es dazu gebracht, dass es sich von der anderen Ransomware abhebt, da Ransomware normalerweise darauf angewiesen ist, den Benutzer dazu zu bringen, sich anzustecken.

17
eez0

Frühere Versionen von WannaCry haben sich nicht über SMB verbreitet, also ja - es ist absolut möglich, dass Ihr PC immer noch mit WannaCry infiziert wird.

Lesen Sie hier mehr: https://www.symantec.com/connect/blogs/what-you-need-know-about-wannacry-ransomware

Bitdefender, Symantec, Norton und wahrscheinlich alle gängigen Antivirensoftware sollten in der Lage sein, WannaCry in ihren aktuellsten Versionen zu erkennen und zu blockieren.

Es wurde vorgeschlagen, dass es sich zuerst per E-Mail verbreitete, aber soweit ich weiß, ist dies immer noch unbestätigt.

Beachten Sie auch, dass es mehrere Versionen von WannaCry gibt und nicht alle auf dieselbe Weise verbreitet sind.

4
Martin Fürholz