So schützen Sie Windows vor dem Kryptotrojaner Petya 2

Die Ransomware Petya 2 verbreitet sich derzeit rasend schnell über das Internet und verschlüsselt den Bootsektor infizierter Festplatten, sodass kein Zugriff auf die Daten mehr möglich ist. Ähnlich wie vor ein paar Monaten WannaCry nutzt auch der neue Kryptotrojaner die NSA-Lücke Eternal Blue. Zwar hat Microsoft bereits entsprechende Patches für seine Betriebssysteme veröffentlicht, eine Infizierung über weitere Geräte im lokalen Netzwerk ist aber weiterhin möglich.

SMB1-Protokoll abschalten

Unsere Kollegen von SemperVideo zeigen, wie sich Windows-Nutzer vor Peyta 2 schützen können. Im ersten Schritt muss hierzu das kaum noch genutzte SMB1-Protokoll abgeschaltet werden.

Unter Windows 7 öffnen Sie dazu den Registrierungs-Editor und navigieren zum Pfad HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters. Dort klicken Sie mit der rechten Maustaste in den rechten Bereich des Programmfensters und wählen im Kontextmenü Neu und anschließend DWORD-Wert (32-Bit) aus. Den neuen Eintrag benennen Sie SMB1 und übernehmen den Wert 0.

Unter Windows 8 und Windows 10 geht dies noch einfacher und ohne Eingriff in die Registry, da das Protokoll über die optionalen Windows-Features abgeschaltet werden kann. Die entsprechende Funktion finden Sie im Bereich "Programme und Features" der Systemsteuerung, schneller ist sie zu erreichen, indem Sie zunächst [Win] + [R] drücken und dann optionalfeatures.exe ausführen. Scrollen sie bis zum Eintrag Unterstützung für die SMB 1.0/CIFS-Dateifreigabe, entfernen Sie das Häkchen und klicken Sie auf OK.

Windows Management Instrumentation beenden

Zuletzt sollte noch die Windows Management Instrumentation (WMI) beendet werden. Die Vorgehensweise ist dazu in Windows 7, 8 und 10 gleich: Öffnen Sie die Eingabeaufforderung als Administrator (im Startmenü mit der rechten Maustaste anklicken und "Als Administrator ausführen" auswählen) und führen Sie den Befehl net stop winmgmt aus, um den Vorgang abzuschließen.

Verwandt

Alle Anzeigen

Dieses Video empfehlen

Kommentieren30

Tags:

Jetzt einen Kommentar schreiben

[o1] am ++12 --1

Da ist doch bestimmt mindestens ein Dealbreaker dabei, der mir, wenn ich das jetzt einfach stumpf so mache, meine Heimnetzwerkfunktionalität killt o. ä., richtig? Wäre ganz nett, da noch Infos zu haben, bevor man das jetzt direkt umsetzt.

EDIT: Und "net stop winmgmt" bringt so ja auch erst mal gar nichts, da der Dienst auf "automatisch" steht. Somit hält das haargenau bis zum nächsten Reboot.

Bearbeitet am 28.06.17 um 14:16 Uhr.

[re:1] am ++1 --

@DON666: Wenn nicht noch irgendwo ein Windows XP/2000 oder älter im Netzwerk rumgeistert, kann man SMB1.0 sehr bedenkenlos abschalten.

[re:1] am ++5 --

@Zweitopf: erklär das mal Druckern die auf Netzwerkfreigaben scannen ;) da gibs nämlich durchaus noch einige die das nutzen, (also mit SMB1)

Bearbeitet am 28.06.17 um 15:17 Uhr.

[re:1] am ++--

@Conos: Betrifft das auch meinen D-Links Print Server DP-301P+?
Wie bekomme ich das raus?

[re:1] am ++1 --

@Paradise: naja, im einfachsten Fall schaltest du es halt einfach mal ab und probierst dann aus. Wenn es nicht geht, dann kannst du das optional Feature ja wieder aktivieren...

[re:2] am ++1 --

@DON666: Richtig, Kodi im Windowsnetzwerk kannste damit vergessen. Durfte Ich vorhin feststellen.

Bearbeitet am 28.06.17 um 14:30 Uhr.

[re:1] am ++--

@McMOK: Oh danke! Bei mir läuft zwar kein Kodi, sondern UMS, aber da wird's ja wahrscheinlich nicht viel anders aussehen.

[re:2] am ++1 --

@McMOK: Kodi geht auch mit uPNP

[re:3] am ++3 --

@DON666: Jap, hab mich damit auch grade mal schön selbst reingelegt. Gibt nämlich auch einige Router die über das SMB1 Freigaben von Festplatten oder USB-Sticks regeln.

Zufällig habe ich ausgerechnet nachdem ich die im Video gezeigten Einstellungen gemacht habe, meinen Haupt-PC vom Kabel getrennt und ins WLAN gehängt. Danach ging der zugriff auf meine vom Router gesteuerte Freigabe nicht mehr... WTF?! Wegen WLAN?... DENKSTE!

Lag natürlich am SMB1, dass ich einfach mal so ganz unbedacht ausgeschaltet hatte.
Vorher ma die Birne einschalten is schon durchaus nicht verkehrt, kostet aber jedes mal Energie... hach ja

[re:4] am ++--

@DON666: Gerade bei Heise entdeckt:
Folgende .bat Datei als Admin ausführen um einen Killswitch bei der potentiellen Infektion zu aktivieren und eine Infektion zu vermeiden:
@echo off

echo Administrative permissions required. Detecting permissions...
echo.

net session >nul 2>&1

if %errorLevel% == 0 (
if exist C:\Windows\perfc (
echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
echo.
) else (
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat

attrib +R C:\Windows\perfc
attrib +R C:\Windows\perfc.dll
attrib +R C:\Windows\perfc.dat

echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
echo.
)
) else (
echo Failure: You must run this batch file as Administrator.
)

pause

[o2] am ++7 --

Gepatchte Rechner können nicht über Eternal Blue infiziert werden.

[re:1] am ++2 --

@wori: wenn das stimmt, sollte der Autor das vieleicht als ersten Satz hinzufügen, kann man sich das Lesen und Umsetzen vom Rest (und das Video sowieso) sparren.

[re:2] am ++--

@wori: Heißt wer aktuelle Updates drauf hat kann es sich sparen?

[re:3] am ++2 --

@wori: Richtig. Der gepatchte Rechner kann nicht direkt infiziert werden. Aber infizierte Rechner im Netzwerk können andere infizieren und da bringt dann auch der Patch nichts!

[re:1] am ++1 --

@Scaver: Das stimmt.
Allerdings werden die weiteren Rechner per Admintool übernommen, nicht aber per Eternal Blue.
Kann man Infizierung nennen oder Administration. Hat aber doch nichts mehr der Schwachstelle SMB1 zu tun.
Die Malware kapert das Netz, besitzt Adminrechte und Passworte, da hilft weder Patch, noch Virenscanner, noch ein anderes Betriebssystem.
Da ist dann einfach landunter.

Bearbeitet am 29.06.17 um 07:09 Uhr.

[re:1] am ++--

@wori: Das ist ebenfalls richtig. Übernahme per Admintool und nicht Eternal Blue, deswegen bringt der Patch (und auch sonst) eben nichts, wenn auch nur ein ungepatchtes oder infiziertes System im Netzwerk ist.

Bearbeitet am 01.07.17 um 15:36 Uhr.

[o3] am ++6 --

Leider sehr destruktiv denn die Deaktivierung von CIFS führt sehr wohl dazu das zahlreiche linux basierte NAS Systeme durch den Nutzer erst mal nicht erreicht werden können.

[o4] am ++3 --

Was dann nicht mehr funktioniert ist hier nachzulesen. Und die Liste ist bei weitem nicht komplett.
https://blogs.technet.microsoft.com/filecab/2017/06/01/smb1-product-clearinghouse/

[o5] am ++--

Zu gut deutsch, wenn ich das SMB1 Protokoll abschalte, wird meine NAS nicht mehr funktionieren ? Und wie siehts mit unserem Smart TV aus, der u.a. seine Inhalte von unserer NAS bezieht. Sowas kann man nicht einfach abschalten, wenns dafür keine Alternative gibt (ohne jetzt Geräte und/oder Hardware zu ersetzen).

Hat jemand von euch genaue Informationen dazu ?

[re:1] am ++3 --

@Wolfseye: Wenn du das Protokoll abschaltest, schaltest Du es ja in deinem Windows ab. Also kann nur der PC nicht mehr SMB1. Andere Geräte sind davon nicht betroffen. Dein SmartTV sollte also weiterhin mit deinem NAS kommunizieren können, weil Du an beiden Geräten ja nichts geändert hast.

[re:1] am ++--

@Runaway-Fan: Das stimmt, allerdings greifen wir mit all unseren Geräten im Haus (PCs, Laptops, TV, Smartphones) auf die NAS zu. Und wenn unsere Computer bzw Laptops das auch nicht mehr können, ist uns auch nicht geholfen.

[o6] am ++6 --

Den WMI Dienst zu deaktivieren sollte man tunlichst bleiben lassen. Das ist hanebüchener Unfug!

[re:1] am ++--

@der_ingo: Sowas hab ich mir auch schon gedacht.
Bei mir taucht bei der Abfrage auch noch
- VMWare USB Arbitration Service
- VMWare Authorization Service
auf.

Und den Dienst für Intel Rapid Storage hab ich auch drin und nutze den sogar für ein Raid-0.

Wäre also katastrophal, wenn man so etwas blind befolgt.

[o7] am ++--

Also den Dienst [b]net stop winmgmt[/b] zu stoppen empfinde ich ehr als "schwierig"....

Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Windows\system32>net stop winmgmt
Die folgenden Dienste hängen vom Dienst Windows-Verwaltungsinstrumentation ab.
Das Beenden des Dienstes Windows-Verwaltungsinstrumentation beendet auch diese D
ienste.

Sicherheitscenter
IP-Hilfsdienst
Intel(R) Rapid Storage Technology
Avira Service Host

Möchten Sie diesen Vorgang fortsetzen? (J/N) [N]:

[o8] am ++1 --5

Man nimmt ein aktuelles Antivirenprogramm, etwa Norton Security und schon ist die Bedrohung beiseite.

Außerdem erstellt man in kurzen Abständen Kopien auf eine externe Platte. Am besten wäre es, diese Platte vom Rechner zu nehmen und woanders aufzubewahren. Das ist in vielen Unternehmen sogar Pflicht.

In der Registrierung sollte man nie(!) unqualifiziert manuell herumschreiben, sonst könnte mit höherer Wahrscheinlichkeit genau das passieren, was man vermeiden will: Der Rechner startet nicht und ob man an die Daten noch herankommt, ist fraglich.

Den WMI-Dienst zu deaktivieren halte ich auch nicht für zweckmäßig. Soweit ich weiß, kann man dann keine Remotesitzungen abhalten und das ist (bei uns) eine der wichtigsten Wartungsarbeiten an Rechnern.

Bearbeitet am 28.06.17 um 21:31 Uhr.

[re:1] am ++1 --

@Grendel12: Hab noch nie so viele Fake-News in einem Kommentar gelesen.

[o9] am ++--

Gut. Danke an alle, die hier was beigetragen haben! Da lag ich ja nicht so ganz verkehrt mit meinen Befürchtungen und werde dieses Rumgepfusche am System definitiv sein lassen.

Da sollte WF aber eventuell den Artikel noch mal ergänzen, wie ich finde.

Bearbeitet am 29.06.17 um 22:49 Uhr.

[10] am ++--

ich steige hier eh nicht durch was nun was ist ?
mit dem de aktiveren diese tollen Tipps so aus der Vergangenheit aus dem Internet habe ich sehr oft oder nur die Erfahrung gemacht ,das danach einiges nicht mehr funktionierte und es eine menge Arbeit macht das wieder rückgängig zu machen,
der beste Schutz ist man nicht mehr ins Internet geht *g*
sollen doch die Provider das raus Filtern, das es immer beim zahlenden Kunden hängen bleibt,
da sollte man die Provider in die Pflicht nehmen schließlich bezahlt man dafür ,
schließlich kommen diese Schad- Cods und Angriffe über den ihre Kabel Leitungen , sollten die halt Filter einbauen und gut ist .

Bearbeitet am 03.07.17 um 04:46 Uhr.

[11] am ++--

Ich hatte auch mal "Unterstützung für die SMB 1.0/CIFS-Dateifreigabe" abgeschaltet und prompt kam ich über den Explorer/Netzwerk nicht mehr auf meine HDD die per USB an der Fritz!Box hängt (sie wurde nicht mehr angezeigt).
Ganz großes Kino, so viel zu "das kaum noch genutzte SMB1-Protokoll"

Bearbeitet am 03.07.17 um 14:18 Uhr.

[re:1] am ++--

@Mike P.: Und wiedermal wird Microsoft der "Schwarze Peter" zugeschoben, nur weil es manche Anbieter nicht schaffen das seit 27 Jahre existierende SMB 1.0 zu ersetzen.

Es mangelt ja nicht an Alternativen (schon seit mehr als 10 Jahren verfügbar), aber da müsste man halt wieder in die Entwicklung der eigenen Soft- / Hardware investieren.