Wannacry beseitigung !

Hallo, 

ein Kunden hat sich zu uns gewendet, weil Sie ein Wannacry Befall hatten in einem geschlossenen Produktivstem. Mehrere Server (Server 2008 und R2) und Clients (Win7 SP1) sind davon betroffen. Wannacry ist nicht scharf geschaltet, da kein Internet.  Wie sich herausgestellt hatte, hat sich womöglich ein verseuchter stick untergejubelt. Gut, meine Frage an euch: 

Die Systeme müssen bis zu einem gewissen Datum weiterlaufen und dürfen nicht heruntergefahren werden. Ich will mir einen nach dem anderen vorknüpfen wollte ohne das ein anderer Client bzw Server den Rechner auf ein neues infiziert. Da ich nicht warten will, habe ich mir gedacht, dass ich mir bis zu diesem Datum zumindest die Sicherheitsupdates (MS17-010) einspiele und die verseuchten Dateien  

1.) C:\Windows\MSSECSVC.EXE

2.) C:\Windows\MSSECSVC.EXE

3.) HKLM\System\CurrentControlSet\Serviices\ mssecsvc.2.0

4.) C:\Windows\QERIUWJHRF

5.) C:\Windows\TASKSCHE.EXE

6.) C:\Windows\MSSECSVC.EXE

umbennen kann und am Tag X die Wannacry beseitigung mit dem Windows Remover Tool starte. 

ps.: Der Kunde hat alle Port gesperrt, wie ich erfahren habe, Warum das nicht eher passiert ist  :) Seit Jan 2017 keine Updates. Kunde will ausschließlich Sicherheitsupdates da sie Siemens Software im Einsatz haben. 

Vielen Dank im Vorraus 

AL

Hallo,

Danke für deinen Post. Was aber genau ist denn jetzt deine Frage?

Peter

Gigabyte Aorus Gaming 3 WiFi Preview, Gigabyte H270N WiFi Preview, Surface Pro 4 Release

War diese Antwort hilfreich?

Das war leider nicht hilfreich.

Toll! Vielen Dank für Ihr Feedback.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback, es hilft uns dabei, die Website zu verbessern.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback.

Hi

hier steht Schwarz auf Weiß:

You can’t clean a compromised system by patching it. Patching only removes the vulnerability. Upon getting into your system, the attacker probably ensured that there were several other ways to get back in.

ebd. weiter im Text:

The only way to clean a compromised system is to flatten and rebuild. That’s right. If you have a system that has been completely compromised, the only thing you can do is to flatten the system (reformat the system disk) and rebuild it from scratch (reinstall Windows and your applications). Alternatively, you could of course work on your resume instead, but I don’t want to see you doing that.

ist deine Frage damit beantwortet?

PS: rein theoretisch kannst du dich an eine Commuity wenden, die sich gezielt mit Malware-Bekämfung beschäftigt. Allerdings sind die dortigen Kunden ausschließlich die Home-User mit den Stand-Alone-Systemen oder kleinen Heim-Netzwerken.

In einem Firmen-Netzwerk hätte auch dieser Versuch 0 Sinn. Es müssen alle Rechner aus dem Netz genommen werden, separat bereinigt und dann wieder einzeln vernetzt.

Das Schlimmste dabei: wenn an einem einzelnen Rechner die Bereinigung nicht erfolgreich war - kann man alles von Vorne beginnen.

=====
"Gib einem Hungrigen einen Fisch, und er ist für einen Tag satt. Zeig ihm, wie man angelt, und er pöbelt Dich an, dass er besseres zu tun hätte, als Schnüre ins Wasser hängen zu lassen"
(C)D.K.

War diese Antwort hilfreich?

Das war leider nicht hilfreich.

Toll! Vielen Dank für Ihr Feedback.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback, es hilft uns dabei, die Website zu verbessern.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback.

Vielen Dank für die Antwort. 

Das ist mir klar das bei einem verseuchten System man alles am liebsten von scratch machen sollte. Das ist dem Kunden auch bewusst aber keine Option. Die haben keine Images von den ganzen Systemen, was unvorteilhaft ist bei so sensiblen und komplexen Programmen . Genau diesbezüglich habe ich alternativ nach einer Lösung gesucht und bin der Meinung das ich mit einem IP-RANGE Scanner durchstöbere welche Systeme im selben Subnet sind um zu verhindern das sich die Systeme erneut infizieren. Mit mehreren Tools den Rechner nach potenzieller Gefahr scanne und entferne. Nachdem die verseuchten dateien entfernt wurden Sicherheitsupdate einspielen. 

lg 

War diese Antwort hilfreich?

Das war leider nicht hilfreich.

Toll! Vielen Dank für Ihr Feedback.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback, es hilft uns dabei, die Website zu verbessern.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback.

bin der Meinung das ich mit einem IP-RANGE Scanner durchstöbere welche Systeme im selben Subnet sind um zu verhindern das sich die Systeme erneut infizieren. Mit mehreren Tools den Rechner nach potenzieller Gefahr scanne und entferne. 

ebd liest man: 

  • You can’t clean a compromised system by removing the back doors. You can never guarantee that you found all the back doors the attacker put in. The fact that you can’t find any more may only mean you don’t know where to look, or that the system is so compromised that what you are seeing is not actually what is there.

  • You can’t clean a compromised system by using some “vulnerability remover.” Let’s say you had a system hit by Blaster. A number of vendors (including Microsoft) published vulnerability removers for Blaster. Can you trust a system that had Blaster after the tool is run? I wouldn’t. If the system was vulnerable to Blaster, it was also vulnerable to a number of other attacks. Can you guarantee that none of those have been run against it? I didn’t think so.

  • You can’t clean a compromised system by using a virus scanner. To tell you the truth, a fully compromised system can’t be trusted. Even virus scanners must at some level rely on the system to not lie to them. If they ask whether a particular file is present, the attacker may simply have a tool in place that lies about it. Note that if you can guarantee that the only thing that compromised the system was a particular virus or worm and you know that this virus has no back doors associated with it, and the vulnerability used by the virus was not available remotely, then a virus scanner can be used to clean the system. For example, the vast majority of e-mail worms rely on a user opening an attachment. In this particular case, it is possible that the only infection on the system is the one that came from the attachment containing the worm. However, if the vulnerability used by the worm was available remotely without user action, then you can’t guarantee that the worm was the only thing that used that vulnerability. It is entirely possible that something else used the same vulnerability. In this case, you can’t just patch the system.

Wenn deine aberhunderte Bereinigung-Stunden bezahlt werden - kannst du dir gleich danach ein neues Porsche kaufen ;-)))

=====
"Gib einem Hungrigen einen Fisch, und er ist für einen Tag satt. Zeig ihm, wie man angelt, und er pöbelt Dich an, dass er besseres zu tun hätte, als Schnüre ins Wasser hängen zu lassen"
(C)D.K.

War diese Antwort hilfreich?

Das war leider nicht hilfreich.

Toll! Vielen Dank für Ihr Feedback.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback, es hilft uns dabei, die Website zu verbessern.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback.

Ich sage nur Pharma-Unternehmen :)  ne, Spaß bei Seite, das ist mir bewusst, das es ne Menge arbeit ist. Jedoch wie würdest du vorgehen, wenn du diese Konditionen hättest die mir offen liegen ? 

Lg

War diese Antwort hilfreich?

Das war leider nicht hilfreich.

Toll! Vielen Dank für Ihr Feedback.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback, es hilft uns dabei, die Website zu verbessern.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback.

Hi

wenn du mich fragst - würde ich sagen: Leute, willkommen in die Digitale Welt! 

Welche Konditionen schreiben die vor? Die Tatsache ist - die sind gehackt worden.

Wer das Türschloss nicht in Ordnung halten kann, der wird auf die brutalste Weise bestohlen. Und was nu?

Auch ihre Versicherung wird eine solche Fahrlässigkeit nicht decken wollen. 

Ne, hier hört für mich der Spaß auf. Platt machen ist die einzige vernünftige Lösung, alles anderes ist Selbstberuhigung.

Ich würde die Verantwortung für das #halbwegsirgendwiebereingtes System nicht übernehmen.

=====
"Gib einem Hungrigen einen Fisch, und er ist für einen Tag satt. Zeig ihm, wie man angelt, und er pöbelt Dich an, dass er besseres zu tun hätte, als Schnüre ins Wasser hängen zu lassen"
(C)D.K.

War diese Antwort hilfreich?

Das war leider nicht hilfreich.

Toll! Vielen Dank für Ihr Feedback.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback, es hilft uns dabei, die Website zu verbessern.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback.

Ergänzend zu den Vorpostern: Ich sehe auch nicht, wie man da halbwegs sauber aus dem Thema herauskommen will. Da sind Server und Clients beteiligt - wie die in der Pharma-Produktion einfach weiter fahren wollen (Stichwort GMP), kann ich nicht nachvollziehen. 

Beim letzten Fall (WannaCry hat bei Chiphersteller TSMC zugeschlagen …) haben die m.W. die Systeme im Netzwerk neu aufgesetzt oder saubere Backups auf die abgeschalteten und dann schrittweise in Betrieb genommenen Systeme zurückgespielt.

Da es sich eh um eine Frage im Geschäftsumfeld handelt, gehört diese nicht in ein Endanwender MS Answers-Forum. Aber im Technet wirst Du nichts anderes zu hören bekommen. 

Blogs: http://www.borncity.com/blog /(Ger) - and - http://borncity.com/win/ (EN)

War diese Antwort hilfreich?

Das war leider nicht hilfreich.

Toll! Vielen Dank für Ihr Feedback.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback, es hilft uns dabei, die Website zu verbessern.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback.

 
 

Informationen zur Frage


Letzte Aktualisierung am 12 November, 2018 Aufrufe 178 Gilt für: