Schlagwort: petya

  • Windows 10: Fall Creators Update mit neuer Sicherheitsfunktion

    Am 17. Oktober 2017 (Windows Patchday) ist das neue Update Redstone 3, auch Fall Creators Update genannt, veröffentlicht worden. Mit ihm kommt ein neues Sicherheitsfeature auf die Windows-10-Rechner, das deine Dateien und Verzeichnisse automatisch gegen Krypto-Trojaner schützen kann. Die Schutzfunktion ist aber nicht automatisch aktiv, du musst sie manuell einschalten.

    Der Datei- und Verzeichnisschutz ist ein Bestandteil des hauseigenen Antiviren-Tools Windows Defender. Dieser muss nämlich für den Verzeichnisschutz ebenfalls aktiviert sein.

    Um die neuen Sicherheits-Features einzuschalten, öffnest du mit der Tastenkombination [Windows][I] die Einstellungen und klickst auf Update und Sicherheit | Windows Defender.

    Dann klickst du auf den Button Windows Defender Security Center öffnen und wechselst dann in die Kategorie Einstellungen für Viren- & Bedrohungsschutz.

    Sofern der Windows Defender bei dir noch nicht aktiv ist, schaltest du den Echtzeitschutz ein. Die Funktion der automatischen Übermittlung von Beispielen sollte ebenfalls aktiviert werden, damit erkannte Virensignaturen automatisch an Microsoft gesendet werden können.

    Schalte nun die Option Überwachter Ordnerzugriff ein, damit deine Verzeichnisse von Windows geschützt werden. Nach der Aktivierung werden zwei Links sichtbar.

    Über App durch überwachten Ordnerzugriff zulassen, kannst du Programmverknüpfungen hinzufügen, die den Ordnerschutz durchdringen können.

    Der Link Geschützte Ordner zeigt dir alle Verzeichnisse an, die der Windows Defender absichert. Nach der Aktivierung sind die Ordner Dokumente, Bilder, Videos, Musik, Desktop und Favoriten automatisch abgesichert. Hier kannst du jetzt bei Bedarf weitere Ordner hinzufügen oder entfernen.

    Sollte Schadware einen unerlaubten Zugriff auf die geschützten Verzeichnisse durchführen, dann wird dieser ab sofort geblockt und durch eine entsprechende Meldung angezeigt.

  • Schadsoftware wie Petya 2 das Starten vonPsExec verweigern

    PsExec ist ein kleines Microsoft-Tool, das anderen Programmen Systemrechte verschaffen kann. Dies machen sich auch die Programmierer von Schadsoftware zu Nutze, auch wenn PsExec bereits seit zirka 15 Jahren existiert. Eigentlich wird PsExec von Administratoren verwendet um auf Computern in einem Netzwerk Remote-Programme zu starten. Auf den heimischen Computern dürfte dieses Tool wohl nicht so oft zum Einsatz kommen. Durch einen kleinen Registry-Eingriff kannst du verhindern, dass PsExec auf deinem Computer gestartet wird.

    Öffne das Fenster Ausführen, indem du die Tastenkombination [Windows][R] drückst, und starte den Registrierungseditor mit dem Befehl regedit.

    Navigiere zu folgendem Registry-Schlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

    Die nächsten Schritte sind davon abhängig, ob du ein 32-Bit- oder 64-Bit-Betriebssystem hast.

    Windows 64-Bit

    Im Registry-Ordner Image File Execution Options legst du über Bearbeiten | Neu | Schlüssel einen Unterschlüssel mit Namen psexec64.exe an.

    Dann öffnest du diesen neuen Schlüssel per Doppelklick und legst, ebenfalls mit Bearbeiten | Neu | Zeichenfolge, einen weiteren Eintrag namens Debugger an.

    Öffne den Eintrag Debugger, tippe in das Feld Wert eine beliebige Startdatei ein (z. B. notepad.exe) und bestätige die Eingabe mit dem Button OK.

    Nach diesem Vorbild wiederholst du diese Eingaben im Verzeichnis Image File Execution Options mit dem Schlüssel psexec.exe.

    Windows 32-Bit

    Nutzer eines Windows-32-Bit-Betriebssystems müssen lediglich den Registry-Schlüssel psexec.exe und die Zeichenfolge Debugger erzeugen, da die 64-Bit-Version auf diesem System nicht ausgeführt werden kann.

    Ab sofort wird der Versuch die PsExec zu starten, lediglich das im Debugger festgelegte Programm starten. Das gilt auch für den Fall, wenn Malware eine eigene PsExec-Version mitbringt und auf deinem Rechner installieren will.

    Solltest du später einmal die PsExec benötigen, dann lösche einfach diese Registry-Schlüssel wieder.

    Einfach aber erfolgreich

    Diese Art des Angriffs ist zugegebenermaßen recht einfach. Wie effektiv ein Angriff mit einem 15 Jahre alten Tool sein kann, beweist der Trojaner Petya 2 (NotPetya) gerade recht eindrucksvoll.