Announcement

Collapse
No announcement yet.

WannaCry Ransomware und Schutz durch Symantec Endpoint Protection

Collapse
X
  • Filter
  • Time
  • Show
Clear All
new posts

    WannaCry Ransomware und Schutz durch Symantec Endpoint Protection

    Aktuell wird vermehrt von globalen Angriffen auf Netzwerke durch die Ransomware WannaCry berichtet.





    WannaCry schafft es durch das Ausnutzen einer schon im März gepatchten Lücke im SMB-Protokoll auf Systeme.

    Symantec schützt aktuell mit seinen verschiedenen Schutztechnologien wie AV und IPS bereits vor einigen im Umlauf kursierenden Varianten von WannaCry:

    Antivirus





    Intrusion Prevention System
    • 21179 (OS Attack: Microsoft Windows SMB Remote Code Execution 3)
    • 23737 (Attack: Shellcode Download Activity)
    • 30018 (OS Attack: MSRPC Remote Management Interface Bind)
    • 23624 (OS Attack: Microsoft Windows SMB Remote Code Execution 2)
    • 23862 (OS Attack: Microsoft Windows SMB Remote Code Execution)
    • 30010 (OS Attack: Microsoft Windows SMB RCE CVE-2017-0144)
    • 22534 (System Infected: Malicious Payload Activity 9)
    • 23875 (OS Attack: Microsoft SMB MS17-010 Disclosure Attempt)
    • 29064 (System Infected: Ransom.Ransom32 Activity)







    Daher wird dringend empfohlen auf aktuelle Signaturen im Netzwerk und auf den Endpoints zu achten sowie
    Windows Systeme zu patchen und alle Schutztechnologien von SEP zu aktivieren.

    Mehr dazu in folgendem Blogartikel von Symantec.


    Update:

    Microsoft hat auch Patches für die abgekündigten Systeme Windows XP und Windows Server 2003 herausgebracht.

    Mehr dazu unter folgendem Link
    Last edited by rubiks; 13.05.2017, 10:31.

    #2
    Update #2

    Wir haben unsere Application Control Ransomware Richtlinie angepasst um vor WannaCry zu schützen.

    *** Download hier
    ***

    Inzwischen gibt es ein weiteres Update von Symantec zu den Erkennungsmethoden.

    Folgende Varianten werden von den verschiedenen Schutztechnologien erkannt:

    Antivirus

    Customers should run LiveUpdate and verify that they have the following definition versions or later installed in order to ensure they have the most up-to-date protection:
    • 20170512.009


    SONAR protection

    Network based protection

    Symantec also has the following IPS protection in place which has proven highly effective in proactively blocking attempts to exploit the MS17-010 vulnerability:

    The following IPS signature also blocks activity related to Ransom.Wannacry:


    Mehr dazu im aktualisierten Blogeintrag von Symantec

    Comment

    Working...
    X