TS: WannaCrypt

Hello,

was steckt hinter WannaCrypt?

Wer kann mir etwas über die Wege und Methoden erzählen, wie so eine Schadsoftware auf die Rechner gelamgt und dir Kontrolle übernehmen kann.

Liebe Grüße
Tom S.

--
Es gibt nichts Gutes, außer man tut es
Andersdenkende waren noch nie beliebt, aber meistens diejenigen, die die Freiheit vorangebracht haben.
  1. Hallo TS,

    was steckt hinter WannaCrypt?

    Eine Ransomware. Deine Daten werden verschlüsselt und erst gegen Zahlung von etwas Bitcoin wieder entschlüsselt, bis zu einem gewissen Countdown. Dann wird der Schlüssel weg geworfen.

    Wer kann mir etwas über die Wege und Methoden erzählen, wie so eine Schadsoftware auf die Rechner gelamgt und dir Kontrolle übernehmen kann.

    Über Phishing mails und ungepatchte Systeme. MS hatte die betroffene Sicherheitslücke im Zuge der NSA-Leaks gefixed, es wird höchst wahrscheinlich der EternalBlue-Exploit genutzt. Und das finde ich besonders peinlich: das ist ein Exploit, der eine Lücke im SMB-Protokoll ausnutzt. Warum das überhaupt aus dem Internet erreichbar ist, und dann noch ungepatcht, ist mir schleierhaft…

    LG,
    CK

    1. Hello,

      danke Dir.
      Der zweite Absatz bringt mich weiter.

      Da sollen doch in diesem Zusammenhang angeblich sogar noch Updates für Windows XP herausgegeben worden sein? Weißt Du, wann das war?

      Liebe Grüße
      Tom S.

      --
      Es gibt nichts Gutes, außer man tut es
      Andersdenkende waren noch nie beliebt, aber meistens diejenigen, die die Freiheit vorangebracht haben.
      1. Hallo TS,

        Da sollen doch in diesem Zusammenhang angeblich sogar noch Updates für Windows XP herausgegeben worden sein? Weißt Du, wann das war?

        Liest du eigentlich die Quellen, die ich dir verlinke? 🙄 Aus https://en.wikipedia.org/wiki/EternalBlue:

        Due to the seriousness of the WannaCry attack, on May 13, 2017 Microsoft took the highly unusual step of also providing a security update for Windows XP, Windows 8, and Windows Server 2003, despite these versions being past their support cycles. Windows XP, Windows 8, and Windows Server 2003 users can download the patch from the Microsoft Update Catalog.

        Hervorhebung von mir.

        LG,
        CK

        1. Hello,

          doch, selbstverständlich lese ich die Quellen.

          Mich irritierten nur die Aussagen im Web, dass die Updates schon "vor längerer Zeit" verbreitet wurden und hier nun "April 2017" steht.

          Liebe Grüße
          Tom S.

          --
          Es gibt nichts Gutes, außer man tut es
          Andersdenkende waren noch nie beliebt, aber meistens diejenigen, die die Freiheit vorangebracht haben.
          1. Hallo TS,

            Mich irritierten nur die Aussagen im Web, dass die Updates schon "vor längerer Zeit" verbreitet wurden und hier nun "April 2017" steht.

            Das ist ein Monat Zeit, ein sehr wichtiges Security-Patchset auszurollen. Das ist eine lange Zeit für derlei Patches. Wenn deine Infrastruktur nicht vorsieht, dass regelmäßig oder kurzfristig außerplanmäßig wichtige Security-Patches installiert werden können, dann hast du einen Fehler bei der Konzeption gemacht.

            LG,
            CK

          2. Hallo Tom,

            Mich irritierten nur die Aussagen im Web, dass die Updates schon "vor längerer Zeit" verbreitet wurden und hier nun "April 2017" steht.

            Wenn ich das richtig verstehe, war die Chronologie die folgende:

            • Am 14.03. hat MS die Lücke in allen damals noch unterstützten Systemen gepatcht (Vista, 7, 8**.1** und 10),
            • am 14.04. wurde die Lücke dann von der Hackergruppe geleakt
            • ... und am 13.05. hat MS dann als Reaktion auf die Angriffe dann die Patches auch für nicht mehr unterstützte Systeme ausgegeben (u. a. XP und 8 (ohne die 1 dahinter!)).

            Demnach hatten die Betreiber unterstützter Systeme sogar zwei Monate Zeit, um ihre Systeme zu patchen...

            Außerdem heißt die Ransomware WannaCrypt.

            Gruß
            Julius

            1. Hello,

              Außerdem heißt die Ransomware WannaCrypt.

              ... und wurde über die TLD von Portugal zuerst verteilt. (Stand bei Eset zu lesen).

              Scheint wohl der besondere Humor der Verteiler der Schadsoftware zu sein.

              Liebe Grüße
              Tom S.

              --
              Es gibt nichts Gutes, außer man tut es
              Andersdenkende waren noch nie beliebt, aber meistens diejenigen, die die Freiheit vorangebracht haben.
              1. Hallo Tom,

                Außerdem heißt die Ransomware WannaCrypt.

                ... und wurde über die TLD von Portugal zuerst verteilt.

                Dann könnte das tatsächlich auch WannaCrypt heißen, würde auch Sinn machen, es ist ja gang und gäbe, die TLD bei der Namensfindung „mitzubenutzen“, beispielsweise ind.ieindie oder modern.iemodern IE. Dann scheint es Auslegungssache zu sein.

                Scheint wohl der besondere Humor der Verteiler der Schadsoftware zu sein.

                Oder die TLD war einfach noch frei und merken kann man sie sich jeder Durchschnittsgangster auch 😀

                Gruß
                Julius

                1. Hello,

                  und schreien würde ich als Admin oder User auch, wenn mir das passieren würde.
                  Wie Sesamstraße:

                  Willst Du ein A kaufen?

                  Wanna buy a crypt key?

                  Liebe Grüße
                  Tom S.

                  --
                  Es gibt nichts Gutes, außer man tut es
                  Andersdenkende waren noch nie beliebt, aber meistens diejenigen, die die Freiheit vorangebracht haben.
              2. Hallo TS,

                Außerdem heißt die Ransomware WannaCrypt.

                ... und wurde über die TLD von Portugal zuerst verteilt. (Stand bei Eset zu lesen).

                Der Unterschied zwischen Java und JavaScript ist größer als der zwischen WannaCry und WannaCrypt. 😂

                Bis demnächst
                Matthias

                --
                Rosen sind rot.
      2. Hallo

        Da sollen doch in diesem Zusammenhang angeblich sogar noch Updates für Windows XP herausgegeben worden sein?

        Nicht nur angeblich und nicht nur für Windows XP. Dieser Blogeintrag von MS thematisiert die Patches für nicht mehr gepflegte Systeme. Am Ende befinden sich die Links zu den Downloads für die Patches. Allerdings gibt es ein „Aber“.

        Aber der Download für Windows XP SP3 X86 (32Bit) lädt einen Patch für Embedded XP. Die EXE verweigert unter einem „normalen“ Windows XP 32Bit dien Installation. Man kann das Windows mit einer Konfigurationsänderung zwar dazu bringen, diesen Patch zu installieren, es gibt aber noch eine andere Übersicht im MS-Downloadkatalog, in der es einen Link zum „Sicherheitsupdate für Windows XP SP3 (KB4012598) angepasster Support“, der Out of the Box auf einem 32Bit-XP funktioniert.

        Tschö, Auge

        --
        Wenn man ausreichende Vorsichtsmaßnahmen trifft, muss man keine Vorsichtsmaßnahmen mehr treffen.
        Toller Dampf voraus von Terry Pratchett
        1. Hello,

          Da sollen doch in diesem Zusammenhang angeblich sogar noch Updates für Windows XP herausgegeben worden sein?

          Nicht nur angeblich und nicht nur für Windows XP. Dieser Blogeintrag von MS thematisiert die Patches für nicht mehr gepflegte Systeme. Am Ende befinden sich die Links zu den Downloads für die Patches. Allerdings gibt es ein „Aber“.

          Aber der Download für Windows XP SP3 X86 (32Bit) lädt einen Patch für Embedded XP. Die EXE verweigert unter einem „normalen“ Windows XP 32Bit dien Installation. Man kann das Windows mit einer Konfigurationsänderung zwar dazu bringen, diesen Patch zu installieren, es gibt aber noch eine andere Übersicht im MS-Downloadkatalog, in der es einen Link zum „Sicherheitsupdate für Windows XP SP3 (KB4012598) angepasster Support“, der Out of the Box auf einem 32Bit-XP funktioniert.

          Genau das ist das Problem.
          Ich folge jetzt deinem Hinweis und schaue, ob ich damit Erfolg habe. ;-)

          Und falls nochmal jemand fragt: Ich habe auch noch MS-DOS 7.0, Win 3.1, Win NT4 Server, OS2, Novell 4.x, Novell 5.x -Systeme laufen und darf die selbstverständlich nicht upgraden!. Und ja, ich hätte im Moment auch gerne einen modernen Rechner ganz für mich alleine, vermutlich dann aber mit Linux-Derivat. Den kann ich mir aber nicht leisten. Museum ist ehrenamtlich.

          Liebe Grüße
          Tom S.

          --
          Es gibt nichts Gutes, außer man tut es
          Andersdenkende waren noch nie beliebt, aber meistens diejenigen, die die Freiheit vorangebracht haben.
        2. Hello,

          Aber der Download für Windows XP SP3 X86 (32Bit) lädt einen Patch für Embedded XP. Die EXE verweigert unter einem „normalen“ Windows XP 32Bit dien Installation. Man kann das Windows mit einer Konfigurationsänderung zwar dazu bringen, diesen Patch zu installieren, es gibt aber noch eine andere Übersicht im MS-Downloadkatalog, in der es einen Link zum „Sicherheitsupdate für Windows XP SP3 (KB4012598) angepasster Support“, der Out of the Box auf einem 32Bit-XP funktioniert.

          Die gute Nachricht zuerst: Das Update hat geklappt.

          Nun die Hiobsbotschaften:
          Ich bin dem Link mit dem Win-XP-Pro-SP3-System und FF 42.0 (mehr läuft hier nicht stabil mit allen Features! Mehrmals hier diskutiert und ausprobiert) gefolgt. Die Seite wurde geladen und die Liste angezeigt. Dann kam ein Telefonanruf zum Thema und leider war ich da abgelenkt und habe den Zurückbutton im Browser gedrückt, um das Forum schnell wiederzubekommen (Ich hatte keinen neuen Tab benutzt).

          Anschließend wieder dem Link gefolgt. Die Liste lud ewig und als sie endlich wieder erschien, klappte sie nach ca. 1 Sec. wieder zu. Leere Seite.
          Ok, das Ganze ohne JavaScript wiedreholt: Die Liste erschien, ich konnte damit aber nichts anstellen.

          Na gut, dachte ich. versuche ich den Download aben auf dem Win 8.1-System. Das klappte dann wunderbar.
          ABER: beim Versuch mich vom WinXP-Rechner auf dem Win-8.1 über mein LAN anzumelden klappte nicht mehr. Am Freitag oder Samstag ging das noch. Über das Wochende hat sich das Ding aber ein Update nach dem anderen gezogen. Da haben sie wohl etwas kaputt gemacht (die "Lücke" geschlossen).

          Nun denn, ich habe dann erst einmal den USB-Stick benutzt zum Übertragen der "Update"-Datei. Netter Nebeneffetkt: Bisher ist beim Abmelden des USB-Sticks auf WIN-7 und WIN-8 Systemen die Betriebskontrolle des Stickes nicht mehr ausgegangen. Beim WinXP Pro schon! Das funktioniert nun auch beim Win-8.1

          Na und zum Schluss bleibt bei mir neben den neuen Netzwerkproblemen zwischen Win 8.1 und Win XP Pro nur noch die lapidare Frage übrig: Kennt von Euch jemand einen Betroffenen dieses WannaCry-Teiles persönlich und hat seine Probleme selber gesehen?

          Es wäre ja durchaus das Szenario vorstellbar:
          Irgend eine Nationale Sicherheits Abteilung will mal eben wieder Zugriff auf alle deutschen Computer haben. Was macht sie da? Sie lanciert eine Fake-Meldung über einen ganz bösen Virus (der von außen angreift) online und in einigen relevanten Computermagazinen und stellt über fragwürdige Kanäle (Hersteller wie M$ und Cisco gehören leider dazu) ein sogenanntes Update zur Verfügung. Keine 24 Stunden später haben die Obrigkeitsgläubigen Admins das Ding in ihren Netzen verteilt und die Tore sind offen für den Zugriff von innen - bis bei der nächsten Terrorcom-Abrechnung der erhöhte Traffic auffällt. Siehe da: wir bezahlen auch noch für die Bespitzelung und den Datenklau.

          Liebe Grüße
          Tom S.

          --
          Es gibt nichts Gutes, außer man tut es
          Andersdenkende waren noch nie beliebt, aber meistens diejenigen, die die Freiheit vorangebracht haben.
          1. Lieber TS,

            Dein Posting ist für mich völlig realitätsbefreit, da ich kein Betriebssystem nutze, das seit drei Jahren nicht mehr gepflegt wird. Wozu auch? Alternativen (insbesondere für ältere Hardware) existieren.

            fragwürdige Kanäle (Hersteller wie M$ und Cisco gehören leider dazu)

            Finde ich jetzt unangebracht. Deine Erfahrungen mit einem seit drei Jahren toten Betriebssystem dürften wohl kaum als Rechtfertigung für die Beschimpfung herhalten. Dass M$ mit seinem Softwarefehler Schimpf und Schande verdient hat, ist sicherlich richtig, aber sie deshalb generell abzuwerten ist maßlos.

            ein sogenanntes Update zur Verfügung. Keine 24 Stunden später haben die Obrigkeitsgläubigen Admins das Ding in ihren Netzen verteilt und die Tore sind offen für den Zugriff von innen -

            Auch wenn Dein Szenario in gewisser Weise einer Logik folgt, so dürften doch weniger "obrigkeitsgläubige" Hacker die fehlende Rechtmäßigkeit in einem solchen Fall ganz sicher baldigst aufdecken und veröffentlichen. Es ist eine Sache von Nationen Spionage- und Sabotage-Tools (z.B. Stuxnet) zu erstellen und unter Umständen damit unschuldige Privatrechner in Mitleidenschaft zu ziehen (für mich eine Umkehrung von "wir sind die guten [Terroristen]"), aber es ist eine andere, Softwarefirmen zu gezielten anlassbezogenen Hintertüren über öffentliche Updates zu zwingen. Und letzteres ist wohl bislang noch immer zu dreist, weswegen "man" (noch immer) bei absichtlich geschwächter Crypto ansetzt, um MitM-Attacken fahren zu können.

            bis bei der nächsten Terrorcom-Abrechnung

            Du verunglimpfst (schon wieder pauschal!) die Telekom? Was hat die mit Terror zu tun? Wo wurdest Du gezielt von dieser Firma in Angst und/oder Schrecken versetzt, eventuell um $Ziele zu erreichen?

            Siehe da: wir bezahlen auch noch für die Bespitzelung und den Datenklau.

            Das will unsere Politik doch so haben! Und die Mehrheit unserer Gesellschaft hat diese Politik (fairerweise: indirekt) gewählt. Worüber regst Du Dich hier auf?

            Liebe Grüße,

            Felix Riesterer.

    2. Wenn wenigstens der Updatemechanismus funktionieren würde. Ich kann schon seit bestimmt letztes Jahr keine Updates mehr installieren, ohne ständig irgendwelche Patches von Hand einzuspielen. Natürlich treten "unbekannte Fehler" auf. Die "Hilfe" dazu verarscht einen dann noch richtig schön. Erst Netzwerküberprüfung (natürlich funktioniert das), danach soll ich eben Windows neu installieren. Da wundert mich nicht wenn jemand den Updatedienst ganz abstellt. So einen miserablen Mechanismus für so ein wichtiges Thema, ich verstehs nicht.

      1. Hallo

        Wenn wenigstens der Updatemechanismus funktionieren würde. … Erst Netzwerküberprüfung (natürlich funktioniert das), danach soll ich eben Windows neu installieren. Da wundert mich nicht wenn jemand den Updatedienst ganz abstellt. So einen miserablen Mechanismus für so ein wichtiges Thema, ich verstehs nicht.

        Wenn ich nicht wüsste, dass allzu oft Abhängigkeiten von bestimmten Programmen existieren, die Windows als Betriebssystem erzwingen [1], würde ich empfehlen, nicht den Updatedienst abzuschalten, sondern das OS mit diesem „miserablen Mechanismus“ zu entfernen und gegen eines auszutauschen, bei dem auch das besser funktioniert.

        Ich bin mir übrigens darüber im Klaren, dass auch in anderen Betriebsystemen ein Update schief gehen kann. Das ist mir erst vor ein paar Monaten passiert, dass der neue NVidia-Grafiktreiber mit dem neuen Linux-Kernel für mein Ubuntu 14.04 nicht wollte [2]. Aber ich konnte beim Rechnerstart wenigstens einen älteren Kernel starten, bei dem auch ein älterer Grafiktreiber lief, um das Problem zu beheben.

        Bei Windows ist man ja spätestens dann angeschissen, wenn das Update beim Start einen Bluescreen verursacht, den man nie und nimmer zu Gesicht bekommt, weil die Default-Einstellung bei Windows besagt, dass in diesem Fall unmittelbar ein Neustart ohne Anzeige der Fehlermeldung auszulösen ist. Da hilft es auch nicht, dass der Windows-10-Bluescreen ein :(-Smiley anzeigt, wenn er denn angezeigt wird.

        Tschö, Auge

        --
        Wenn man ausreichende Vorsichtsmaßnahmen trifft, muss man keine Vorsichtsmaßnahmen mehr treffen.
        Toller Dampf voraus von Terry Pratchett

        1. Wenn's denn nicht die Programme sind, die einen vom Wechsel abhalten, ist es allzu oft der offensichtlich immer noch zu geringe Leidensdruck. Dann kann's aber auch nicht so schlimm sein, dass stets und ständig man rumningeln muss. ↩︎

        2. 640x480 Pixel auf einem 24-Zoll-Full-HD-Display sehen übrigens nicht so prall aus. ↩︎