Handlungsempfehlung zum Erpressungstrojaner „WannaCry“, Stand 16.05.2017
- Aktualisiere alle Windows Systeme und bringe diese auf den neusten Patch-Level. Weitere Informationen können dem Microsoft-Sicherheitsbulletin MS17-010 entnommen werden. Zusätzliche Empfehlungen hat Microsoft in diesem Artikel inkl. Links zu Updates für nicht mehr unterstützte Betriebssystem Versionen wie Windows XP.
- Dort, wo keine Updates zur Verfügung stehen oder installiert werden können, sollte nach Möglichkeit der Zugriff auf SMB blockiert und SMBv1 deaktiviert werden.
- Allen Windows Systemen in Ihrem Netzwerk sollte der Zugriff auf die folgendenden Domains www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com und www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com ermöglicht werden. Die Domains sind im Zusammenhang mit WannaCry als „Kill Switch Domains“ bekannt. Erreicht der Virus diese Domains, so stop er offenbar die Ausbreitung. Wichtig ist, dass der Zugriff auf diese Domains frei und Authorisierung erfolgen kann.
- Ein mehrschichtiges Backupkonzept ist Voraussetzung – achtet darauf, dass Server und Clients entsprechend gesichert werden.
Ich empfehle, wichtige Systeme mindestens zweifach zu sichern – einmal als Snapshotsicherung und einmal „nur“ die Bewegungsdaten. Die Backupziele dürfen für den Benutzer nicht zugänglich sein. - Besonderes Augenmerk sollte auch Schulung und Sensibilisierung liegen. Wichtig ist, dass WannaCry – wie jede Ransomware – Netzwerke typischerweise per Mail betreten hat und von einem Anwender ausgeführt wurde. Der gesunde Menschenverstand muss „eingeschaltet“ bleiben.
Die Ausführung von unbekanntem und unerwünschten Software-Code kann durch den Einsatz der „Richtlinien für Softwareeinschränkungen“ (orig. „software restriction policies“) unterbunden werden. Die Bedienung über Microsoft Bordmittel ist höchst komplex. Ich möchte daher beispielhaft das Tool „Anti Ransom“ ( https://www.anti-ransom.de , entwickelt von Reddoxx und Krämer IT Solutions) erwähnen, welches sich über eine grandios einfache Oberfläche bedienen lässt.
Für größere Systemumgebungen biete ich die Business-Version des Tools als Managed Service an. Sprecht mich gern an.