Diskussion:WannaCry/Archiv/1
ältere Versionen als XP (erl.)
Und dann Win8 aufzählen? So macht der Satz wenig Sinn. --95.208.248.245 18:29, 13. Mai 2017 (CEST)
Da bin ich auch drüber gestolpert. Wieso wird Win 8 als älter als Win Vista bezeichnet? Nach meinem Verständnis ist Win 8 der Nachfolger von 7 und Vorgänger von 10 und wird selbstverständlich von Microsoft noch unterstützt.
Das dürfte daran liegen, dass Windows 8 inzwischen ein Update auf Windows 8.1 erfahren hat und (ähnlich wie bei Service Packs) nur die neueste Version Updates erhält. In diesem Fall also Windows 8.1.
- hatte mich beim lesen immer noch gestört, ich habs versucht noch klarer zu machen --FerrariusK (Diskussion) 22:45, 13. Mai 2017 (CEST)
- Der Support von Windows 8.0 (ohne Gratisupgrade auf 8.1) hat am 12. Januar 2016 geendet. Windows 8.1 wird noch bis 10. Januar 2023 unterstützt. --Rôtkæppchen₆₈ 02:30, 14. Mai 2017 (CEST)
- Archivierung dieses Abschnittes wurde gewünscht von: Rotkaeppchen68's Info ist jetzt im Artikel --Distelfinck (Diskussion) 14:31, 15. Mai 2017 (CEST)
Windows 7
(Übertragung von meiner Diskussionsseite --TheRandomIP (Diskussion) 14:07, 18. Mai 2017 (CEST))
Windows 7 wird im Artikel genannt. Dass Windows 7 einerseits im Artikel genannt wird, obwohl es doch andererseits gar nicht betroffen ist, macht den Artikel schwer verständlich. (nicht signierter Beitrag von 109.44.0.199 (Diskussion) 13:52, 18. Mai 2017)
- Deine Annahme ist nicht korrekt. Windows 7 ist ebenfalls betroffen und muss gepatcht werden. Im Artikel ist es also korrekt dargestellt. Und bitte WP:SIG signiere deine Beiträge. --TheRandomIP (Diskussion) 14:07, 18. Mai 2017 (CEST)
Auf dieser Seite https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ steht kein Patch für Windows 7.
Wie kommt das? Hat Microsoft ihn vergessen?
(Ich habe kein Benutzerkonto und dann deshalb nicht signieren.)(nicht signierter Beitrag von 109.44.0.199 (Diskussion) 15:43, 18. Mai 2017)
- Bist du tatsächlich nicht in der Lage, einfache Texte zu lesen und inhaltlich zu verstehen, oder überfliegst du Texte in der Regel nur grob und bildest dir daraus eine gefühlte Wahrheit? Denn in dem Blog-Eintrag, den du gepoostet hast, wird Windows 7 sehr wohl erwähnt. Und es gibt auch einen Patch, den man über die dort enthaltenen Links finden kann. Signieren kann jeder, steht in WP:SIG. Wieder ein Anzeichen dafür, dass du Texte, die man dir gibt, nicht vollständig lesen kannst oder willst. Und dann bindest du hier Zeit und Ressourcen dafür, dass wir dir etwas erklären, was du mit minimalen Engagement auch selbst nachlesen könntest. So geht das nicht. Weder hier noch im normalen Leben. --TheRandomIP (Diskussion) 15:59, 18. Mai 2017 (CEST)
Es ist wirklich oft so, dass ich selbst einfachste Texte nicht verstehen kann. Hilfst du mir bitte?
- Für Schwierigkeiten beim Textverständnis gibt es ja dann die WP:Auskunft oder alternativ den Deutschlehrer (bzw. hier im konkreten Fall eher den Englischlehrer). Hier keine weiteren Ansätze zur Artikelverbesserung erkennbar. --TheRandomIP (Diskussion) 01:18, 20. Mai 2017 (CEST)
- Archivierung dieses Abschnittes wurde gewünscht von: --TheRandomIP (Diskussion) 01:18, 20. Mai 2017 (CEST)
Der Artikel sollte überarbeitet werden
Ich bin der Meinung, dass der Artikel an einigen Stellen durch eine Überarbeitung verbessert werden könnte. Sollten sich noch engagierte Wikipedianer mit Weitblick hierher verirren, lohnt es sich, einmal die Versionshistorie nach meinen Edits und meinen Editkommentaren zu durchsuchen. Ihr findet dort wertvolle Hinweise, was alles noch zu verbessern wäre. Das ist übrigens die Version, die meiner Meinung nach sehr viele Dinge besser macht als die aktuelle Version. (Mir blutet das Herz mit ansehen zu müssen, wie von mir mühsam abgewogene Formulierungen jetzt wieder zerstört werden, auch durch die jüngsten Edits an diesem schönen Sonntag) Achso, ich selbst bin wegen eines Foulspiels leider von der Bearbeitung ausgeschlossen, das nur als Hinwies. --TheRandomIP (Diskussion) 16:11, 21. Mai 2017 (CEST)
- Full Ack! Der Artikel hat in den letzten Tagen eine Dynamik zum Schlechten erhalten, die mir auch nicht gefällt – aber so ist das nunmal bei tagesaktuellen Themen die durch die Presse getrieben werden. Jeder meint was dazubeitragen zu müssen und auch die Quellen sind oftmals nicht wirklich fundiert zu dem Zeitpunkt. Deshalb warte ich noch ein bisschen bis sich die Lage beruhigt hat. --WikiPimpi (Diskussion) 20:04, 22. Mai 2017 (CEST)
Achso, ganz vergessen, auch wenn schon implizit oben enthalten, doch noch einmal explizit: Ich distanziere mich in aller Form als Autor vom aktuellen Zustand des Artikels. Auch wenn ich zwar als einer der Hauptautoren in der Versionshistorie auftauche, habe ich letztlich nur sehr wenig zum Artikel beigetragen, da meine Änderungen immer wieder durch einzelne Autoren zurückgenommen wurden. Das war mir noch ein persönliches Anliegen, das klar zu stellen. Nicht dass es später heißt, der TheRandomIP, der schreibt immer so schlechte Artikel. Nein, solche Artikel sind nicht mein Stil. Ich habe da ganz andere Standards. --TheRandomIP (Diskussion) 19:24, 21. Mai 2017 (CEST)
- Aua - ich dachte, Wikipedia ist ein Gemeinschaftsprodukt. --Hannover86 (Diskussion) 11:04, 26. Mai 2017 (CEST)
- Ein paar dringliche Baustellen habe ich, nach einwöchiger Zurückhaltung, einmal behoben. Hier also erledigt. --TheRandomIP (Diskussion) 21:15, 30. Mai 2017 (CEST)
- Archivierung dieses Abschnittes wurde gewünscht von: --TheRandomIP (Diskussion) 21:15, 30. Mai 2017 (CEST)
Abschnitt Täter
Das habe ich frei aus dem Kopf geschrieben, wie ich es ein paar minuten vorher auf n-tv mitgenommen habe. Online hab ich noch keinen Beleg gefunden über diese Experteneinschätzung (auch seinen Namen weiss ich jetzt nicht), ich hoffe es stimmt halbwegs so. Schaut bitte mal mit, die nächsten Nachrichten laufen auf n-tv um 22 Uhr. Oder kann jemand einen Mitschnitt finden? Generell gibt es auch widersprüchliche Einschätzungen zu den Tätern -- itu (Disk) 21:24, 13. Mai 2017 (CEST)
- "ein Experte"... Wenn du nicht einmal weißt, was das für ein "Experte" gewesen sein soll, vergiss es. Es ist ohnehin pure Spekulation. --94.221.84.24 21:48, 13. Mai 2017 (CEST)
- Sogar Konjunktiv hoch 3: Es könnte sein, dass das überraschte Kleinkriminelle waren. Wenn das stimmte, könnte es sein, dass in Deckung gehen, wenn das auch stimmte, könnte das Folgen für die Codelieferung haben. Noch spekulativer geht gar nicht mehr. --94.221.84.24 21:56, 13. Mai 2017 (CEST)
- Der Text steht wieder drin. Solange man Sandro Gaycken kein Täterwissen nachweisen kann (seine Aufforderung, das gefordete Lösegeld zu zahlen, ist ja bestenfalls ein Indiz), ändert sich nichts daran, dass die Behauptungen hochspekulativ sind und somit keine enzyklopädische Relevanz haben. --94.221.84.24 23:19, 13. Mai 2017 (CEST)
- Sogar Konjunktiv hoch 3: Es könnte sein, dass das überraschte Kleinkriminelle waren. Wenn das stimmte, könnte es sein, dass in Deckung gehen, wenn das auch stimmte, könnte das Folgen für die Codelieferung haben. Noch spekulativer geht gar nicht mehr. --94.221.84.24 21:56, 13. Mai 2017 (CEST)
Ist eine jetzt gut belegte Einschätzung eines bedeutenden Experten wie sie völlig üblich ist. -- itu (Disk) 01:55, 14. Mai 2017 (CEST)
- Bitte keine vorschnellen Vermutungen. Andere Experten sprechen von organisierten Kriminellen, also was ganz anderes. Abwarten bis es Belege gibt, die in eine gesicherte Richtung weisen. Auch kein Newstickeries. --KurtR (Diskussion) 02:36, 14. Mai 2017 (CEST)
- Dann müsste auch so eine triviale Einschätzung wie „In Deutschland hält das Bundesinnenministerium den Fall für besonders schwerwiegend.“, die auch noch weitaus nichtssagender ist, raus.
- Niemand hat ja jemand abgehalten weitere, auch gegensätzliche, kompetente Experteneinschätzungen zu ergänzen. Aber man kann natürlich auch alles abmagern bis aufs scheinbar faktoide Skelett. Guten Appetit . -- itu (Disk) 02:59, 14. Mai 2017 (CEST)
- Zu diesem frühen Zeitpunkt ist es reine Spekulation, Du kannst stattessen auch eine Münze werfen. In drei Wochen siehts vielleicht besser aus, wenn man etwas Handfestes weiss. Jetzt ist es Newstickeris, was nicht der Sinn einer Enzyklopädie ist. --KurtR (Diskussion) 04:19, 14. Mai 2017 (CEST)
gezielte Angriffe?
Auf Krankenhäuser,etc gezielt oder freilaufender Trojaner? - auch dazu liest man gegensätzliche Aussagen. -- itu (Disk) 21:24, 13. Mai 2017 (CEST)
- Ich habe in keinem der Artikel die sich mit dem reversing der malware beschäftigen irgendetwas gelesen was auf gezielte angriffe schließen lässt.
- Der Grund warum die Malware sich zu großen teilen in Behörden/Krankenhäusern,... und Firmen Intranets verbreitet hat dürfte eher der sein das dort zu großen Teilen alte, ungewartete (oder zumindest unausreichend gewartete) System eingesetzt werden. Microsoft hat den Patch der das SMB problem behebt schließlich vor ungefähre 2 Monaten für alle supporteten! Plattformen veröffentlicht. --Sleepprogger (Diskussion) 04:46, 16. Mai 2017 (CEST)
- Ja, gezielte Angriffe sind eher unplausibel, aber einige Medien haben es anfangs trotzdem so suggeriert. -- itu (Disk) 16:05, 16. Mai 2017 (CEST)
Experten empfehlen: Zahlt ! das Lösegeld (!)
Vgl. hier, der Abwehrexperte Gaycken im Deutschlandfunk: Deutschlandfunk, 13. Mai 2017. Das sollte schon erwähnt werden, oder ? --88.217.122.45 09:00, 14. Mai 2017 (CEST)
- Nicht "Experten empfehlen", sondern "Sandro Gaycken empfiehlt". Die meisten Experten empfehlen das Gegenteil, somit gehört es nicht erwähnt. --178.9.84.82 13:14, 14. Mai 2017 (CEST)
- So viele Experten gibt es nicht und Gaycken hat eine einfach nachvollziehbare Begründung geliefert warum es für Betroffene sinnvoll sein kann zu zahlen. Vielfach wird vorallem auch deswegen empfohlen nicht zu zahlen um das kriminelle Geschäft einzudämmen, aber das ist ein staatliches/allgemeines Interesse und nicht exakt NPOV.
- Alle relevanten Positionen dürfen im Artikel dargestellt werden, das ist informativer als gar keine.
- Wir vertreten hier ausschliesslich das Leserinteresse und der will eben informiert sein. -- itu (Disk) 15:08, 14. Mai 2017 (CEST)
- Der will vor allem darüber informiert werden, dass es durchaus eine Möglichkeit gibt, wie er ganz ohne Lösegeld aus dem Schlamassel rauskommt: einfach ein aktuelles (!) Windows neu installieren und das letzte Daten-Backup einspielen, das wars auch schon. Leider fehlt das noch im Artikel, aber Itu kommt dem Leserinteresse bestimmt umgehend nach. -- 80.187.114.106 16:04, 14. Mai 2017 nachsig.
- Für Leser die so wenig nachdenken wie du hier unterstellst ist WP dann wieder nicht da. -- itu (Disk) 16:34, 14. Mai 2017 (CEST)
- Deiner Ansicht nach ist Wikipedia also nichts für Telefónica und einige andere große Unternehmen in Spanien, den britischen National Health Service, das US-Logistikunternehmen FedEx , den französischen Automobilkonzern Renault, den japanischen Automobilhersteller Nissan in Großbritannien, die Deutsche Bahn mit der Logistiktochter Schenker, die Schweizer Wirtschaftsprüfungsgesellschaft KPMG, die argentinische Banco Bilbao Vizcaya Argentaria , das brasilianische Telekommunikationsunternehmen Vivo , das schwedische Unternehmen Sandvik, den chinesischen Ölkonzern PetroChina, andere Ziele in mindestens 99 Ländern, darunter das rumänische Außenministerium, das russische Innen- und Katastrophenschutzministerium sowie das Telekommunikationsunternehmen MegaFon. Ganz zu schweigen von den ungezählten betroffenen Kleinunternehmen und Privatanwendern. -- 80.187.114.106 18:24, 14. Mai 2017 nachsig.
- Ja. Und bitte signiere deine Beiträge. -- itu (Disk) 21:09, 15. Mai 2017 (CEST)
- Deiner Ansicht nach ist Wikipedia also nichts für Telefónica und einige andere große Unternehmen in Spanien, den britischen National Health Service, das US-Logistikunternehmen FedEx , den französischen Automobilkonzern Renault, den japanischen Automobilhersteller Nissan in Großbritannien, die Deutsche Bahn mit der Logistiktochter Schenker, die Schweizer Wirtschaftsprüfungsgesellschaft KPMG, die argentinische Banco Bilbao Vizcaya Argentaria , das brasilianische Telekommunikationsunternehmen Vivo , das schwedische Unternehmen Sandvik, den chinesischen Ölkonzern PetroChina, andere Ziele in mindestens 99 Ländern, darunter das rumänische Außenministerium, das russische Innen- und Katastrophenschutzministerium sowie das Telekommunikationsunternehmen MegaFon. Ganz zu schweigen von den ungezählten betroffenen Kleinunternehmen und Privatanwendern. -- 80.187.114.106 18:24, 14. Mai 2017 nachsig.
- Für Leser die so wenig nachdenken wie du hier unterstellst ist WP dann wieder nicht da. -- itu (Disk) 16:34, 14. Mai 2017 (CEST)
- Der will vor allem darüber informiert werden, dass es durchaus eine Möglichkeit gibt, wie er ganz ohne Lösegeld aus dem Schlamassel rauskommt: einfach ein aktuelles (!) Windows neu installieren und das letzte Daten-Backup einspielen, das wars auch schon. Leider fehlt das noch im Artikel, aber Itu kommt dem Leserinteresse bestimmt umgehend nach. -- 80.187.114.106 16:04, 14. Mai 2017 nachsig.
Killswitch-Domain
Die Killswitch-Domain sollte noch eingebaut werden, dadurch konnte zumindest wohl am Wochenende ein Großteil von Neuinfektionen verhindert werden (zumindest in der Variante welche die Domain abfrägt).
Ausführliche Quellen:
- https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html
- http://blog.talosintelligence.com/2017/05/wannacry.html
Gruß, --WikiPimpi (Diskussion) 13:31, 14. Mai 2017 (CEST)
- http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.--wdwd (Diskussion) 16:36, 14. Mai 2017 (CEST) Info: Diese "killswitch-Domain" lautet lt. letzter Quelle im Namen: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Abgefragt wird
Aufforderung zur Zahlung
Der einführende Satz "...von Europol als noch ... Nutzer werden aufgefordert ... zu zahlen" liest sich im ersten Moment so, als würde offiziell die Zahlung empfohlen. --178.20.93.89 16:28, 14. Mai 2017 (CEST)
- Hier aber wirklich höchstens im allerersten moment. -- itu (Disk) 16:38, 14. Mai 2017 (CEST)
Details zur Vorgehensweise?
1. Angenommen ich klicke auf einen Emil-Anhang mit WannaCry und das Programm fängt an. Was wird alles Verschlüsselt? Alle erreichbare Festplatten und Netzwerklaufwerke? Oder kann es nur Dateien verschlüsseln, auf die der angemeldete Benutzer Zugriff hat? Oder anderes herum ausgedrückt, wäre ein Backup auf meiner Festplatte, welches unter einem anderen Benutzer ausgeführt wurde und auf das der aktuelle Benutzer keinen Zugriff hat vor WannaCry sicher?
2. WannaCry kommt statt per Emalil per SMB vom lokalen Netzwerk. Welche Rechte hat es dann? Unterscheidet sich dann der Schaden zum Szenario oben?
3. Ich habe gehört, WannaCry benötigt für Teile seines Schadprogrammes höhere Benutzerberechtigungen und es soll dann auch ein Fester aufpoppen wo es solche Rechte haben will. Kann das jemand bestätigen? Und kann WannaCry dann diesen Teil der Schädigung nicht durchführen? --Foolssanma (Diskussion) 14:19, 15. Mai 2017 (CEST)
zu 3. "As these commands require Administrative privileges, victims will see a UAC prompt similar to the one below." Quelle: https://www.bleepingcomputer.com/news/security/wannacry-wana-decryptor-wanacrypt0r-technical-nose-dive/ --Foolssanma (Diskussion) 18:51, 15. Mai 2017 (CEST)
zu 2, "The exploit, also known as ETERNALBLUE and released earlier by Shadow Brokers, allows remote access with system privileges. This means an attacker can execute remote code at will, taking full control of the system." Quelle:https://www.vanimpe.eu/2017/05/13/limited-impact-wannacry-wcry-wannacrypt-ransomware/ --Foolssanma (Diskussion) 19:12, 15. Mai 2017 (CEST)
Technische Details zur Verbreitung
In diesem Kommentar ist gut beschrieben, wie die Verbreitung funktioniert (hat): [1] --Trustable (Diskussion) 11:03, 15. Mai 2017 (CEST)
@Havaube: Ich denke die Verbreitung über SMB findet nicht nur im lokalen Netz sondern auch über das Internet statt. --Trustable (Diskussion) 12:55, 15. Mai 2017 (CEST)
- @Trustable: Hallo Trustable, vielen Dank für Deine Nachricht. SMB ist laut WP zuständig innerhalb von Rechnernetzen - oder muss das nach Deiner Meinung korrigiert werden ? Zwar erfolgt die Verbreitung und Infektion des jeweils ersten Rechners über das Internet, nicht aber die Infektion weiterer Rechner im selben LAN. Denn die von Dir referierte Quelle führt aus (fett durch mich):
"Ist der Schädling einmal im eigenen Netz drin, dann betrifft das zumeist alle Rechner, jedenfalls die mit Windows. Meist schafft es der Schädling aber nicht ins interne Netz, weil das fast immer hinter einer NAT-Firewall steckt. Heimanwender mit z.B. Fritzbox haben nichts zu befürchten, außer sie bohren absichtlich ein Loch in die Firewall."
Ich versuche, das aufgrund Deines Hinweises etwas klarer zu formlieren. Havaube (Diskussion) 13:08, 15. Mai 2017 (CEST)
- @Trustable: Hallo Trustable, vielen Dank für Deine Nachricht. SMB ist laut WP zuständig innerhalb von Rechnernetzen - oder muss das nach Deiner Meinung korrigiert werden ? Zwar erfolgt die Verbreitung und Infektion des jeweils ersten Rechners über das Internet, nicht aber die Infektion weiterer Rechner im selben LAN. Denn die von Dir referierte Quelle führt aus (fett durch mich):
@Havaube: Laut [2] und [3] scant das Ding sowohl das interne Netzwerk als auch externe (per Zufall generierte) Adressen. SMB sollte! nur für interne Netze benutzt werden wird es in der Realität allerdings nicht ausschließlich. Des weiteren ist der teil über RDP missverständlich meiner Meinung nach. Laut dem malwarebytes Artikel injected WannaCry code in aktive RDP sessions. Das bedeutet wenn niemand gerade eine RDP Session zu Rechner A auf hat droht diesbezüglich keine wirkliche Gefahr. --Sleepprogger (Diskussion) 03:32, 16. Mai 2017 (CEST)
- @Sleepprogger: und @Trustable:: Vielen Dank für Eure Hinweise. Ich räume gerne ein, dass insbes. die nun von Sleepprogger genannte Quellen differenzierter erscheinen als die mir von Trustable genannten und auch als diejenigen, die ich selbst bisher gefunden hatte (nicht zuletzt bei Microsoft selbst), und dass sie vermutlich die Vorgänge zutreffend(er) und klarer schildern. Daher finde auch ich, dass meine Ausführungen in Übertragungswege korrigiert bzw. weniger missverständlich werden sollten. Willst Du Sleepprogger das übernehmen ? Havaube (Diskussion) 19:33, 16. Mai 2017 (CEST)
- @Havaube: und @Trustable: Meine Grammatik skills sind nicht die besten, daher hier als Vorschlag (mit Verbesserungspotential):
- WannaCry nutzt zur Verbreitung vor allem eine Schwachstelle im SMB-Protokoll [4] die von Microsoft bereits am 14 März für alle supporteten Betriebsysteme gepatch wurde. Zusätzlich werden aktive Remote-Desktop-Protokoll Sitzungen genutzt um die Schadsoftware weiter zu verbreiten. Vermutlich wurden Emails für die initiale Verbreitung genutzt (!Der heise artikel ist der einzige den ich bis jetzt gefunden habe wo dies nicht nur als Vermutung geäußert wird!). Sobald ein System infiziert ist wird das gesamte lokale netzwerk nach weiteren angreifbaren Systemen gescannt um auch dort WannaCry zu installieren. Gleichzeitig werden zufällig generierte Internet IPs (!was ist der richtige Begriff hier ?!) generiert und ein Verbindungsaufbau auf Port 445 (SMB port) versucht. Gelingt dieser wird die gesamte /24 (!Wie könnte man /24 range am besten kurz und knapp beschreiben ?!) range gescannt.
- Des weiteren sollte vermutlich irgendwo erwähnt werden das WannaCry Tor instaliert und zur Kommunikation nutzt. --Sleepprogger (Diskussion) 20:41, 16. Mai 2017 (CEST)
- @Sleepprogger: inhaltlich völlig einverstanden, und sprachlich läßt sich alles hinkriegen. @Trustable: ja, den Einsatz von tor zu erwähnen, ist imho relevant. Es erscheint mir außerordentlich zynisch, tor, das mal als Schutz gegen staatliche Willkür gedacht war, zur Verschleierung krimineller Begünstigung zu verwenden, vor allem wenn es stimmt, dass Nordkorea hinter WannaCry steckt, wo normale Bürger (und Dissidenten), die es schaffen tor zu verwenden, vermutlich deswegen Sanktionen befürchten müssen. Havaube (Diskussion) 22:55, 16. Mai 2017 (CEST)
- Nordkorea sind nur Indizien, weit entfernt von Beweisen [5] --JustLeaks (Diskussion) 03:40, 17. Mai 2017 (CEST)
- @Sleepprogger: inhaltlich völlig einverstanden, und sprachlich läßt sich alles hinkriegen. @Trustable: ja, den Einsatz von tor zu erwähnen, ist imho relevant. Es erscheint mir außerordentlich zynisch, tor, das mal als Schutz gegen staatliche Willkür gedacht war, zur Verschleierung krimineller Begünstigung zu verwenden, vor allem wenn es stimmt, dass Nordkorea hinter WannaCry steckt, wo normale Bürger (und Dissidenten), die es schaffen tor zu verwenden, vermutlich deswegen Sanktionen befürchten müssen. Havaube (Diskussion) 22:55, 16. Mai 2017 (CEST)
- @Havaube: und @Trustable: Meine Grammatik skills sind nicht die besten, daher hier als Vorschlag (mit Verbesserungspotential):
- Ich denke ich macht das schon richtig. Mir ging es oben nur darum, nicht zu schreiben, dass SMB nur im loken Netz genutzt werden kann. --Trustable (Diskussion) 08:44, 17. Mai 2017 (CEST)
- Windows kann mit der Definition des Heimnetzes SMB lokal aufmachen. Wenn aber jemand ein offenes WLAN etc. als Heimnetz definiert, dann Aua. Kann Windows eine solche Fehlhandlung erkennen? Kann es vorkommen, dass Windows einen Router per uPNP SMB nach außen freigeben lässt? MS schreibt was von vier einzelnen kritischen Sicherheitslücken, die alle mit einem Patch abgedeckt werden. RDP-Angriff trage ich mal ein. --Mopskatze℅Miau! 05:16, 20. Mai 2017 (CEST)
- Ich denke ich macht das schon richtig. Mir ging es oben nur darum, nicht zu schreiben, dass SMB nur im loken Netz genutzt werden kann. --Trustable (Diskussion) 08:44, 17. Mai 2017 (CEST)
Experten empfehlen: zahlt nicht!
"... nur einige Dutzend der rund 200.000 Betroffenen haben bisher das geforderte Lösegeld gezahlt. Das jedenfalls legen die die drei bekannten Bitcoin-Wallets nahe, die den Erpressern gehören. Insgesamt sind dort (Stand Montag, 15 Uhr) knapp 29,5 Bitcoin eingelaufen, umgerechnet rund 47.000 Euro. Von wem, ist unklar. Bisher hat niemand öffentlich gemacht, dass er bezahlt hat. Weshalb auch nicht klar ist, ob die Zahlung wirklich dazu führt, dass man die Kontrolle über seine Daten zurückbekommt. Wahrscheinlich bekommt man sie nicht. Mehrere Sicherheitsforscher haben die Ransomware untersucht und herausgefunden, dass erstens jeder einzelne Entschlüsselungsvorgang manuell durch einen der Täter angestoßen werden muss, was angesichts der momentanen Aufmerksamkeit ein hohes Risiko darstellt. Zweitens lässt der schlampige Code Zweifel daran aufkommen, dass die Entschlüsselung überhaupt zuverlässig funktioniert." (www.zeit.de/digital/datenschutz/2017-05/ransomware-wannacry-loesegeld-bitcoin-reaktionen) -- 80.187.96.30 18:30, 15. Mai 2017 nachsig.
Experten warnen vor Zahlung der Wanna-Crypt-Erpressersumme
Mikko Hypponen von F-Secure hingegen schreibt, man habe mittlerweile Bestätigungen von mehr als 200 Wanna-Crypt-Opfern, die nach Zahlung der Summe wieder Zugang zu ihren Daten bekommen hätten. Die dazu benötigten Informationen seien manuell übermittelt worden, was ebenfalls auf Probleme mit den Ressourcen bei den Angreifern hindeutet. Trotz der erfolgreichen Entschlüsselungen empfehle Hypponen aber nicht, den Betrag zu zahlen, wenn es sich irgendwie vermeiden ließe.
- Hauke Gierow: Ransomware: Experten warnen vor Zahlung der Wanna-Crypt-Erpressersumme. In: golem.de. 15. Mai 2017, abgerufen am 16. Mai 2017. --(⊃。•́‿•̀。)⊃━☆゚.*・。゚ 分液漏斗 10:21, 16. Mai 2017 (CEST)
- Danke für den Link, habe es in den Artikel eingearbeitet. --TheRandomIP (Diskussion) 18:13, 20. Mai 2017 (CEST)
- Ok, doch nicht. Benutzer:Itu will es nicht im Artikel haben. :-( --TheRandomIP (Diskussion) 19:39, 20. Mai 2017 (CEST)
- Nee, man kann viel schreiben wenn man dabei den Zwang beherrscht ständig wieder umzugraben was andere geschrieben haben ohne dass dies im Ergebnis eine Verbesserung bewirkt. Allerdings sollte man in diesem Punkt auch nicht einseitig schreiben, denn es gab auch gegenteilige Empfehlungen(siehe weiter oben) und das nicht nur für Fälle wo etwa die Gesundheit von Menschen betroffen ist. -- itu (Disk) 19:55, 20. Mai 2017 (CEST)
- Wikipedia ist nicht dazu da, irgendwelche Mnderheiten-Meinungen darzustellen. Besonders nicht Meinungen, die bereits am 13. Mai erfolgt sind, als die Malware neu ist und man noch nicht mal wusste, dass die automatische Zuteilung nicht funktionierte und so eine Entschlüsselung sehr unwahrscheinlich wurde. Empfehlungen von BSI, FBI und sonstigem sind natürlich relevant für den Artikel mit den entsprechenden Begründungen. --KurtR (Diskussion) 22:41, 20. Mai 2017 (CEST)
- Ja, besonders die Meinungen und Empfehlungen von Geheimdiensten sollten ohne Nachdenken präsentiert werden. Weil alles andere grenzt ja wieder an TF. Und wenn jemand der Meinung ist dass die Gesundheit von Dialysepatienten vielleicht eine Lösegeldzahlung sinnvoll erscheinen lässt, dann ist das ganz sicher nur eine Aussenseitermeinung die mit NPOV nicht vereinbar ist. -- itu (Disk) 12:40, 21. Mai 2017 (CEST)
- Wikipedia ist nicht dazu da, irgendwelche Mnderheiten-Meinungen darzustellen. Besonders nicht Meinungen, die bereits am 13. Mai erfolgt sind, als die Malware neu ist und man noch nicht mal wusste, dass die automatische Zuteilung nicht funktionierte und so eine Entschlüsselung sehr unwahrscheinlich wurde. Empfehlungen von BSI, FBI und sonstigem sind natürlich relevant für den Artikel mit den entsprechenden Begründungen. --KurtR (Diskussion) 22:41, 20. Mai 2017 (CEST)
- Nee, man kann viel schreiben wenn man dabei den Zwang beherrscht ständig wieder umzugraben was andere geschrieben haben ohne dass dies im Ergebnis eine Verbesserung bewirkt. Allerdings sollte man in diesem Punkt auch nicht einseitig schreiben, denn es gab auch gegenteilige Empfehlungen(siehe weiter oben) und das nicht nur für Fälle wo etwa die Gesundheit von Menschen betroffen ist. -- itu (Disk) 19:55, 20. Mai 2017 (CEST)
- Ok, doch nicht. Benutzer:Itu will es nicht im Artikel haben. :-( --TheRandomIP (Diskussion) 19:39, 20. Mai 2017 (CEST)
- Danke für den Link, habe es in den Artikel eingearbeitet. --TheRandomIP (Diskussion) 18:13, 20. Mai 2017 (CEST)
Anmerkung: Der Benutzer:Itu hat mir vorgeworfen, die Textstelle "Die Angreifer seien nicht auf die große Zahl an gekaperten Rechnern vorbereitet" sei frei erfunden gewesen. Richtig ist, dass ich mich hier auf golem.de berufe, wo steht "offenbar sind die Angreifer vom Erfolg ihrer Operation überrascht". "Erfolg" meint hier unmissverständlich "Verbreitung", also "große Anzahl an gekaperten Rechnern". Da das der einzige Einwand war, und sich dieser als Nebelkerze herausstellte, habe ich meinen Text wiederhergestellt. --TheRandomIP (Diskussion) 23:43, 20. Mai 2017 (CEST)
Baustein: Betroffene Unternehmen und Einrichtungen
In diesem Abschnitt wird in der Zeit herumgesprungen - mal Vergangenheit, mal Präsens. Ich wollte es eigentlich direkt ändern, aber es könnte auch bedeuten, dass die einen betroffen waren und das Problem inzwischen nicht mehr besteht und die anderen sind vielleicht noch betroffen, weil sie die Daten noch nicht wiederherstellen konnten. Das glaube ich allerdings eher nicht... --Oilfoot (Diskussion) 19:47, 16. Mai 2017 (CEST)
- Da die meisten Angaben unbelegt sind, habe ich einen Baustein gesetzt. --KurtR (Diskussion) 02:16, 17. Mai 2017 (CEST)
KPMG Schweiz nicht betroffen!
Fälschlicherweise hat Wikipedia weiterverbreitet, dass KPMG Schweiz betroffen sei. Dies ist gemäss Angaben von Benutzer:KPMG Schweiz nicht der Fall, wie er auf seiner Diskussionseite klarstellt. Auch dass andere Ländergesellschaften von KPMG betroffen seien, sei ihm nicht bekannt.
Wie kam diese falsche Angabe in unseren Wikipediaartikel? Als erster hat Benutzer:Wikifreund am 13. Mai dies und weitere Angaben eingefügt, ohne die notwendigen Belege anzugeben. In der bereits vorhandenen heise.de Referenz steht nichts von KPGM (und den anderen Angaben). Nachdem KPMG am 16. Mai entfernt wurde, hat es Benutzer:Wce17 wieder hergestellt mit dieser Referenz: Nur, auch hier steht nichts von KPMG!
Eine kurze Internetrecherche bringt zwar KPMG Spanien ins Spiel, aber diese Angabe ist unbestätigt. Für Wikipedia braucht es mehr.
Ich möchte nochmals an die Belegpflicht erinnern sowie an die Angabe von Einzelnachweisen. --KurtR (Diskussion) 02:11, 17. Mai 2017 (CEST)
- Danke fürs Prüfen meiner Referenz. Entweder sind mir beim Einfügen die Links durcheinandergeraten und es war ein anderer Ars Technica-Artikel, den ich jetzt aber auch nicht mehr finde, oder die Information bei Ars Technica ist entfernt worden. Bei Heise stand KPMG ursprünglich evtl. auch drin - z. B. bezieht sich noch ein Blog darauf. Das Einfügen von Falschinfos war aber nicht meine Absicht und tut mir leid. Viele Grüße, Wce17 (Diskussion) 10:15, 17. Mai 2017 (CEST)
- kurz, am 12. Mai 2017 berichteten zum aktuellen Ereignis mehrere Quellen:
- http://elpais.com/elpais/2017/05/12/inenglish/1494588595_636306.html
- https://www.borncity.com/blog/2017/05/13/ransomware-wannacry-befllt-tausende-computer-weltweit/
über KPMG in Spanien. Die Bezeichnung Schweiz zu KPMG bezog sich dabei nicht auf die Niederlassung in der Schweiz sondern auf die Herkunft des Unternehmens wie bspw. der französische Autobauer Renault, die schweizerische Wirtschaftsprüfungsgesellschaft KPMG oder besser formuliert wie bspw. der japanische Autobauer Nissan in Großbritannien etc. und führte wohl zu Irritationen. --Wikifreund (Diskussion) 14:43, 21. Mai 2017 (CEST)
Rettungsmöglichkeiten
Das Thema kommt umseitig ja noch gar nicht vor. Und ich glaube die Experten unterschlagen hier sogar Chancen der Restaurierung durch Dateientlöschung. Besonders wenn man eine SSD hat, die weniger als 50% voll war (gemessen an zwangsverschlüsselten Benutzerdaten) könnten die Chancen auf (vollständige) Wiederherstellung gut sein, das hängt davon ab wie perfekt WannaCry hier arbeitet. -- itu (Disk) 20:13, 18. Mai 2017 (CEST)
Und Symantec schreibt dass nicht alle Dateien "gewiped" , also geschreddert werden, aber da bleibt unklar wo genau "elsewhere on a computer" sein soll. Ob SSDs/Flashspeicher wirklich explizit durchgelöscht werden wird nicht thematisiert. -- itu (Disk) 20:20, 18. Mai 2017 (CEST)
- Hmm, abseits verschlüsselter Dateisysteme und den Wirkungen vom Wear-Leveling wird das durch TRIM bei SSD nicht vereinfacht wenn nicht gar verunmöglicht. Und trim bei SSD wird doch mittlerweile, man korrigiere mich, bei so gut wie allen (?) SSD "on-the-fly" gemacht. (z.b. unter linux mit Parameter "discard" beim mount von ext4) D.h. die Firmware in der SSD bekommt vom Dateisystems via diesen TRIM mehr oder weniger sofort mitgeteilt, welcher Block im NAND frei ist und auf 0xFF zurückzusetzen (=wipe) ist.--wdwd (Diskussion) 20:43, 18. Mai 2017 (CEST)
en-Version
@ die WP-Spezialisten: Bisher hat das Lemma keinen Hinweis auf die englisch-sprachige Version. Wenn ich "en" und jenes "WannaCry ransomware attack" in das Sprach-Modul eintragen möchte, wird aber das Abspeichern verweigert mit der Fehlermeldung, diese Einträge seien bereits in einem anderen Modul verwendet worden. Das hat aber einerseits nicht den Effekt, dass der Leser des Artikels den Sprach-Link angezeigt bekommt, und ließ sich andererseits von mir nicht löschen. Daher habe ich alternativ (e Fakten ...) den Eintrag "en:WannaCry ransomware attack" nach Großvater-Art unten in den Edit-Bereich geschrieben. Das funktioniert zwar, erscheint mir aber nicht gerade "elegant", wenn alle übrigen Sprach-Versionen im o.g. Modul codiert sind. Wer kann wie helfen ? Havaube (Diskussion) 13:13, 21. Mai 2017 (CEST)
- Ja, der en-Artikel ist ja auch hier eingetragen. Es ist irgendwie nun passiert, dass die Malware "WannaCry" und die Cyber-Attake mit dieser Malware zu zwei Entitäten geworden sind. Einzelne Sprachversionen haben nun jeweils zu unterschiedlichen Sachen ein Artikel, und die andere Sache ist nur ein Unterkapitel. Beispielweise hier ist "WannaCry" der Hauptartikel und die Cyber-Attake das Unterkapitel. In der englischen Wikipedia ist es genau umgekehrt. Die Auflösung davon ist nicht ganz einfach, denn die Wiki-Software lässt solche Fälle nicht zu. In der Regel kann man sich durch Weiterleitungen was zurechtbasteln. Ich kann das übernehmen, da ich das schon öfter gemacht habe. Du müsstest mir aber kurz deinen Old-School Sprach-Link wieder rausnehmen. Ich darfs ja nicht mehr... --TheRandomIP (Diskussion) 16:25, 21. Mai 2017 (CEST)
- So, der Oldschool-Link kann entfernt werden. --TheRandomIP (Diskussion) 16:39, 21. Mai 2017 (CEST)
Seltsame Formulierung "zwei Versionen des Betriebssystemes Windows Vista"
@Havaube: Bitte erkläre mal, was du im Abschnitt Vorgeschichte mit "zwei Versionen des Betriebssystemes Windows Vista" meinst. Welche Versionen sollen denn keinen Patch bekommen haben? Fakt ist: Es gab Patches für alle Vista-Versionen, da Vista im März noch innerhalb des Support-Zeitraums lag (er endete im April!). Wenn du nun übrigens glaubst, die Dinge jetzt unbescholten in den Artikel einfügen zu können, wo wir zuvor noch einen Dissens hatten, bewegst du dich auf einem schmalen Grad. Denn das werde ich mir nicht allzu lange ansehen, bevor ich Maßnahmen ergreife (Vandalismusmeldung etc.) --TheRandomIP (Diskussion) 17:46, 21. Mai 2017 (CEST)
- @TheRandomIP: Die Vandalismus-Meldung zu Deinen Edits erscheint mir allzu begründet. Du hast aber zusätzlich die Neigung, andere WP-Autoren persönlich anzugreifen. Kannst Du es bitte unterlassen, persönliche Vorwürfe zu machen und zu drohen, bevor Du Dich informiert hast ? Lies einfach in der von mir eingetragenen Referenz auf das Microsoft-Sicherheitsbulletin MS17-010 nach. Da wirst Du feststellen, dass entgegen Deiner Behauptung im März 2017 nur noch 2 der über 1 Dutzend Versionen von Vista[1] im erweiterten Support waren. Daher bekamen auch nur diese 2 Versionen das Sicherheitsupdate schon im März 2017. Havaube (Diskussion) 20:23, 21. Mai 2017 (CEST)
- Hier steht es schwarz auf weiß. ALLE Editionen von Vista erhielten Support bis 11. April 2017, egal ob Home, 32 Bit, oder sonst was. Das was du gefunden hast, sind einzig die ursprünglichen Versionen ohne das SP2, aber man kann ja auf das SP2 einfach kostenlos upgraden, also ist quasi jede Version von Vista noch gegen diese Lücke absicherbar, man muss nur den Zwischenschritt über das SP2 gehen. Und das steht wieder auch genau so in dem Artikel, den du gerade gepostet hast, viert-letzter Eintrag. Wie kann man das nicht verstehen? Die Wikipedia ist doch sonst immer ein Ort gewesen, so sich Leute mit minimal Sachverstand getummelt haben. Wo seid ihr? Zu Hilfe! --TheRandomIP (Diskussion) 21:45, 21. Mai 2017 (CEST)
- Erkennst du jetzt endlich, welchen Schaden du anrichtest, indem hauptsächlich Halbwahrheiten oder irreführende Informationen in den Artikel einfügst? Das war vor drei Tagen genau das gleiche Problem. Die Distanzierung eins oben drüber habe ich vor allem eingefügt, weil ich weiß, dass du jetzt die Hauptrolle im Artikel übernehmen wirst. Sei mir nicht böse, du bist privat sicherlich ein sehr netter Mensch. Aber fachlich bist du hier - meiner Ansicht nach - fehl am Platz. Das sage ich nicht, weil ich etwas gegen dich habe, sondern weil ich denke, dass du deine Talente woanders besser einsetzen kannst, wo du dich besser auskennst. Es würde sowohl dir als auch dem Artikel hier gut tun. --TheRandomIP (Diskussion) 21:54, 21. Mai 2017 (CEST)
Screenshot
Kurioserweise ist der Screenshot auf commons gelöscht worden. Es können aber problemlos Screenshots lokal hochgeladen werden. -- itu (Disk) 09:08, 23. Mai 2017 (CEST)
- Wenn sich jemand nicht an die Regeln (Lizenz usw.) hält, dann ist das eben so. Offenbar gelten bei Commons auch andere Regeln als hier. --Hannover86 (Diskussion) 11:03, 26. Mai 2017 (CEST)
E-Mails
Der Verbreitungsweg per Email ist überhaupt nicht belegt und eine reine Vermutung aus anderen Ransomeware-Infektionswellen. --Treysis (Diskussion) 22:33, 31. Mai 2017 (CEST)
- Danke für den Hinweis, die Belege hierfür waren tatsächlich nicht ausreichend. In einem Artikel von Heise Online wird es erwähnt: "Einmal verbreitet er sich – wie bei Kryptotrojanern üblich – per E-Mail. So sagte ein DB-Sprecher der dpa, der Angriff auf die Bahn sei durch E-Mails ausgelöst worden." --TheRandomIP (Diskussion) 22:45, 31. Mai 2017 (CEST)
- Der Aussage eines Sprecher der Bahn, noch dazu nur über den Umweg einer Agenturmeldung, würde ich nicht allzu viel Vertrauen schenken. Dieser Artikel Artikel setzt sich etwas genauer damit auseinander und behauptet im Gegenteil, dass WannaCry eben gerade nicht per Email verbreitet wurde. --Treysis (Diskussion) 23:01, 15. Jun. 2017 (CEST)
Tools
ESET Stops WannaCryptor, WannaCry and EternalBlue. Use our free tool to make sure Windows vulnerabilities are patched --JustLeaks (Diskussion) 03:59, 21. Mai 2017 (CEST)
Weitere Entschlüsselungstools:
- "WannaKey": von Adrien Guinet von Quarkslab entwickelt, läuft nur unter Windows XP.
- "WanaKiwi": von Benjamin Delpy, läuft unter XP und Windows 7.