So schützen Sie Windows vor dem Kryptotrojaner Petya 2
Die Ransomware Petya 2 verbreitet sich derzeit rasend schnell über das Internet und verschlüsselt den Bootsektor infizierter Festplatten, sodass kein Zugriff auf die Daten mehr möglich ist. Ähnlich wie vor ein paar Monaten WannaCry nutzt auch der neue Kryptotrojaner die NSA-Lücke Eternal Blue. Zwar hat Microsoft bereits entsprechende Patches für seine Betriebssysteme veröffentlicht, eine Infizierung über weitere Geräte im lokalen Netzwerk ist aber weiterhin möglich.
Unter Windows 7 öffnen Sie dazu den Registrierungs-Editor und navigieren zum Pfad HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters. Dort klicken Sie mit der rechten Maustaste in den rechten Bereich des Programmfensters und wählen im Kontextmenü Neu und anschließend DWORD-Wert (32-Bit) aus. Den neuen Eintrag benennen Sie SMB1 und übernehmen den Wert 0.
Unter Windows 8 und Windows 10 geht dies noch einfacher und ohne Eingriff in die Registry, da das Protokoll über die optionalen Windows-Features abgeschaltet werden kann. Die entsprechende Funktion finden Sie im Bereich "Programme und Features" der Systemsteuerung, schneller ist sie zu erreichen, indem Sie zunächst [Win] + [R] drücken und dann optionalfeatures.exe ausführen. Scrollen sie bis zum Eintrag Unterstützung für die SMB 1.0/CIFS-Dateifreigabe, entfernen Sie das Häkchen und klicken Sie auf OK.
SMB1-Protokoll abschalten
Unsere Kollegen von SemperVideo zeigen, wie sich Windows-Nutzer vor Peyta 2 schützen können. Im ersten Schritt muss hierzu das kaum noch genutzte SMB1-Protokoll abgeschaltet werden.Unter Windows 7 öffnen Sie dazu den Registrierungs-Editor und navigieren zum Pfad HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters. Dort klicken Sie mit der rechten Maustaste in den rechten Bereich des Programmfensters und wählen im Kontextmenü Neu und anschließend DWORD-Wert (32-Bit) aus. Den neuen Eintrag benennen Sie SMB1 und übernehmen den Wert 0.
Unter Windows 8 und Windows 10 geht dies noch einfacher und ohne Eingriff in die Registry, da das Protokoll über die optionalen Windows-Features abgeschaltet werden kann. Die entsprechende Funktion finden Sie im Bereich "Programme und Features" der Systemsteuerung, schneller ist sie zu erreichen, indem Sie zunächst [Win] + [R] drücken und dann optionalfeatures.exe ausführen. Scrollen sie bis zum Eintrag Unterstützung für die SMB 1.0/CIFS-Dateifreigabe, entfernen Sie das Häkchen und klicken Sie auf OK.
Windows Management Instrumentation beenden
Zuletzt sollte noch die Windows Management Instrumentation (WMI) beendet werden. Die Vorgehensweise ist dazu in Windows 7, 8 und 10 gleich: Öffnen Sie die Eingabeaufforderung als Administrator (im Startmenü mit der rechten Maustaste anklicken und "Als Administrator ausführen" auswählen) und führen Sie den Befehl net stop winmgmt aus, um den Vorgang abzuschließen.Verwandte Videos
-
Bad Rabbit: So sieht die neue Ransomware in Aktion aus
-
No More Ransom: Erste Anlaufstelle für Opfer von Ransomware
-
Hitler-Ransomware: Malware so schlecht wie Facebook-Kommentare
-
So findet man alle Ransomware-Ziele auf dem eigenen PC
-
Praktische Sysinternals: Jederzeit aktuell per Netzlaufwerk verfügbar
EDIT: Und "net stop winmgmt" bringt so ja auch erst mal gar nichts, da der Dienst auf "automatisch" steht. Somit hält das haargenau bis zum nächsten Reboot.
Wie bekomme ich das raus?
Zufällig habe ich ausgerechnet nachdem ich die im Video gezeigten Einstellungen gemacht habe, meinen Haupt-PC vom Kabel getrennt und ins WLAN gehängt. Danach ging der zugriff auf meine vom Router gesteuerte Freigabe nicht mehr... WTF?! Wegen WLAN?... DENKSTE!
Lag natürlich am SMB1, dass ich einfach mal so ganz unbedacht ausgeschaltet hatte.
Vorher ma die Birne einschalten is schon durchaus nicht verkehrt, kostet aber jedes mal Energie... hach ja
Folgende .bat Datei als Admin ausführen um einen Killswitch bei der potentiellen Infektion zu aktivieren und eine Infektion zu vermeiden:
@echo off
echo Administrative permissions required. Detecting permissions...
echo.
net session >nul 2>&1
if %errorLevel% == 0 (
if exist C:\Windows\perfc (
echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
echo.
) else (
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat
attrib +R C:\Windows\perfc
attrib +R C:\Windows\perfc.dll
attrib +R C:\Windows\perfc.dat
echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
echo.
)
) else (
echo Failure: You must run this batch file as Administrator.
)
pause
Allerdings werden die weiteren Rechner per Admintool übernommen, nicht aber per Eternal Blue.
Kann man Infizierung nennen oder Administration. Hat aber doch nichts mehr der Schwachstelle SMB1 zu tun.
Die Malware kapert das Netz, besitzt Adminrechte und Passworte, da hilft weder Patch, noch Virenscanner, noch ein anderes Betriebssystem.
Da ist dann einfach landunter.
https://blogs.technet.microsoft.com/filecab/2017/06/01/smb1-product-clearinghouse/
Hat jemand von euch genaue Informationen dazu ?
Bei mir taucht bei der Abfrage auch noch
- VMWare USB Arbitration Service
- VMWare Authorization Service
auf.
Und den Dienst für Intel Rapid Storage hab ich auch drin und nutze den sogar für ein Raid-0.
Wäre also katastrophal, wenn man so etwas blind befolgt.
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Alle Rechte vorbehalten.
C:\Windows\system32>net stop winmgmt
Die folgenden Dienste hängen vom Dienst Windows-Verwaltungsinstrumentation ab.
Das Beenden des Dienstes Windows-Verwaltungsinstrumentation beendet auch diese D
ienste.
Sicherheitscenter
IP-Hilfsdienst
Intel(R) Rapid Storage Technology
Avira Service Host
Möchten Sie diesen Vorgang fortsetzen? (J/N) [N]:
Außerdem erstellt man in kurzen Abständen Kopien auf eine externe Platte. Am besten wäre es, diese Platte vom Rechner zu nehmen und woanders aufzubewahren. Das ist in vielen Unternehmen sogar Pflicht.
In der Registrierung sollte man nie(!) unqualifiziert manuell herumschreiben, sonst könnte mit höherer Wahrscheinlichkeit genau das passieren, was man vermeiden will: Der Rechner startet nicht und ob man an die Daten noch herankommt, ist fraglich.
Den WMI-Dienst zu deaktivieren halte ich auch nicht für zweckmäßig. Soweit ich weiß, kann man dann keine Remotesitzungen abhalten und das ist (bei uns) eine der wichtigsten Wartungsarbeiten an Rechnern.
Da sollte WF aber eventuell den Artikel noch mal ergänzen, wie ich finde.
mit dem de aktiveren diese tollen Tipps so aus der Vergangenheit aus dem Internet habe ich sehr oft oder nur die Erfahrung gemacht ,das danach einiges nicht mehr funktionierte und es eine menge Arbeit macht das wieder rückgängig zu machen,
der beste Schutz ist man nicht mehr ins Internet geht *g*
sollen doch die Provider das raus Filtern, das es immer beim zahlenden Kunden hängen bleibt,
da sollte man die Provider in die Pflicht nehmen schließlich bezahlt man dafür ,
schließlich kommen diese Schad- Cods und Angriffe über den ihre Kabel Leitungen , sollten die halt Filter einbauen und gut ist .
Ganz großes Kino, so viel zu "das kaum noch genutzte SMB1-Protokoll"
Es mangelt ja nicht an Alternativen (schon seit mehr als 10 Jahren verfügbar), aber da müsste man halt wieder in die Entwicklung der eigenen Soft- / Hardware investieren.