Gelöst
Abuse mail wegen Wannacrypt
vor 8 Jahren
Ich habe am 15.5 eine Abuse Mail von abuse@telekom.de bekommen, sieht auch seriös aus und ich finde nix an der Mail was irgendwie "gefährlich ist", kein Annhang, keine ungewähnlichen URL's also gehe ich davon aus das die wirklich von der Telekom kommt.
< snip >
uns liegen Hinweise von Sicherheitsexperten vor, dass mindestens ein Rechner oder ein Endgerät, z.B. Smartphone, das sich über Ihren Internetzugang mit dem Internet verbunden hatte, mit einem Virus/Trojaner infiziert ist. Die folgende IP-Adresse war zu dem genannten Zeitpunkt Ihnen zugeordnet: IP-Adresse: * Zeitangabe: 13.05.2017 11:34:59 MESZ Infektion: Wannacrypt
<blablabla>
Ich halte aber eine Infektion für unwarscheinlich bis unmöglich.
Ist die Quelle die für das erstellen der Mail gesorgt hat die Telekom selber? Woran wir erkannt das hier im Netz Wanacrypt sein unwesen treiben soll?
Alle 3 PC die am Samstag hier im Netz waren, waren auf aktuellem Patchstand.
SMB müste der Speedport Hybrid von aussen filtern, oder?
Bis jetzt zeigt keiner der PC einen Sperrbildschirm.
Infektion via Email ist eher unwarscheinlich.
Hab es gestern Mittag False Positiv Abuse Mails?
658
0
6
Das könnte Ihnen auch weiterhelfen
vor einem Jahr
557
0
8
Beliebte Tags letzte 7 Tage
Das könnte Sie auch interessieren
Kaufberatung anfragen
Füllen Sie schnell und unkompliziert unser Online-Kontaktformular aus, damit wir sie zeitnah persönlich beraten können.
Angebote anzeigen
Informieren Sie sich über unsere aktuellen Internet-Angebote.
Akzeptierte Lösung
akzeptiert von
vor 8 Jahren
Das Sicherheitsteam der Telekom versendet tatsächlich immer wieder mal etwas, wenn ihnen was auffällt.
Der Wannacrypt ist doch der Expressertroyaner, der gestoppt wurde, in dem ein Sicherheitsexperte aus London eine Internetseite in einem Code entdeckt hatte, welche er registrieren ließ. Das war ein Notschalter in dem Expressertroyaner, der verhindert hat, dass sich noch mehr Rechner verabschieden, also Zugriffe auf Dateien auf den Rechnern gesperrt werden. Nichtsdestotrotz ist dann weiterhin der entsprechende Trojaner auf dem Rechner vorhanden, sollte also beseitigt werden.
Ich könnte mir vorstellen, dass die Telekom alle IP-Adresse heraus fischt (aber nur geraten), von denen aus Rechner einen Kontakt zu der Notfall-Ip-Adresse des Experten herzustellen versuchen. Und wer weiß, was sie im Verkehr noch so alles prüfen können.
Die Infektion muss von dem Rechner runter, oder sogar in Mehrzahl von den Rechnern, und falls ein Netzwerkspeicher vorhanden ist, könnte er sich dort auch schon eingebettet haben (möglicherweise).
Der Trojaner konnte sich nur in den Rechnern einbetten, welche eine bestimmte Aktualisierung von Microsoft (welche sie im März heraus gebracht hatten) nicht upgedatet hatten. Sogar XP-Rechner, welche eigentlich keine keinerlei Updateversorgung ansonsten von Microsoft haben, wurden von Microsoft mit einem Update versorgt, herunter rufbar.
Bei älteren Rechnern läuft es über ein extra Sicherheitsmodul.
Ich würde den Hinweis ernst nehmen, der gekommen ist.
https://www.heise.de/newsticker/meldung/WannaCry-Co-So-schuetzen-Sie-sich-3714596.html
https://www.heise.de/newsticker/meldung/WannaCry-Microsoft-liefert-Sicherheits-Patches-fuer-veraltete-Windows-Versionen-3713417.html
0
2
von
vor 8 Jahren
Das könnte es sein Telektra:
"Ich könnte mir vorstellen, dass die Telekom alle IP-Adresse heraus fischt (aber nur geraten), von denen aus Rechner einen Kontakt zu der Notfall-Ip-Adresse des Experten herzustellen versuchen. Und wer weiß, was sie im Verkehr noch so alles prüfen können."
Ich habe die URL im Browser einmal aufgerufen als ich das erste mal davon gelesen habe. Wenn die Telekom da nicht noch weitere Sachen auswertet (auswerten kann) dann wäre die Mail klar.
von
vor 8 Jahren
Es könnte auch ähnlich wie in diesem Beitrag gelaufen sein.
http://bit.ly/2qMbOf5
Killswitch URL Testweise aufrufen= Böse
Uneingeloggter Nutzer
von
Akzeptierte Lösung
akzeptiert von
vor 8 Jahren
danke für deine Anfrage. Es wurde schon vieles richtig gesagt. @Gelöschter Nutzer hat recht. Die Killswitch-URL wird von renomierten Sicherheitsunternehmen überwacht und wenn die URL aufgerufen wird, werden die Internet Serivce Provider, also auch wir, informiert. Und da man nicht unterscheiden kann, ob eine Person das manuell gemacht hat oder der Virus, informieren wir unsere Kunden.
Ich hoffe, das hilft euch weiter.
Viele Grüße
Uli H.
0