Impfung gegen neue Quasi-Petya-Ransomware

Zusätzlicher Weg das System zu impfen

Update 14:20: Sicherheitsexperte Guy Leech hat einen zusätzlichen Weg beschrieben, die Systeme zu impfen. Dieser kann zwei wichtige Einfallstore von Schädlingen dieser Art schliessen. Man erstellt in der Registry in diesem Zweig:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Diese Unterzweige:
psexec.exe
wmic.exe

Im rechten Fensterteil erhalten beide je einen Eintrag namens «Debugger» mit dem Wert «svchost.exe». Das lässt sich übrigens alles mit einem Registry-Import-File erledigen. Erstellen Sie eine Textdatei z.B. mit Namen impf2.reg. Fügen Sie dort den folgenden Code ein:

Windows Registry Editor Version 5.00
 
 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\psexec.exe]
 "Debugger"="svchost.exe"
 
 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmic.exe]
 "Debugger"="svchost.exe"
 
Speichern sie die Datei und importieren Sie sie per Doppelklick.

Wichtig: Sie sollten sich irgendwo Notizen machen, dass Sie diese zwei Einträge hinzugefügt haben. Es könnte eines Tages nötig sein, diese wieder zu entfernen.




Das könnte Sie auch interessieren