[Anleitung] So schützt ihr euren Windows Rechner vor Petya 2
Erst vor wenigen Wochen überflutete der WannaCry Virus das Internet. Bei dem Schädling handelt es sich um einen Erpressungstrojaner, der die Daten des Nutzers verschlüsselt und anschließend Lösegeld verlangt, damit die Daten wieder entschlüsselt werden. (Hierbei wird davon abgeraten, das Lösegeld zu überweisen, da die Dateien meist dennoch nicht entschlüsselt werden.) Doch der nächste Verschlüsselungsvirus folgt: Petya 2 nutzt die selbe Windows Lücke (NSA-Lücke Eternal Blue), die bereits WannaCry genutzt hat. Bereits jetzt wurden mehr als 500.000 Rechner infiziert.
Zwar hat Microsoft die Lücke schon zu Zeiten von WannaCry geschlossen und hierfür sogar ein Update für das nicht mehr Unterstützte Windows XP veröffentlicht. Doch auch mit diesem Pach Update seid ihr nicht sicher, denn, wenn ein anders Gerät, wie z.B. ein IoT Gerät, in eurem Netzwerk infiziert ist, kann dieser auch euren Rechner infizieren.
Da wir möglichst viele Nutzer vor Petya 2 schützen möchten, erklären wir hier, wie ihr eure Windows Computer schützen könnt.
Achtung: Diese Anleitung beinhaltet Veränderungen am System. WindowsUnited übernimmt keinerlei Haftung für Beschädigungen an eurer Soft- oder Hardware.
Um euch vor dem Virus zu schützen, müsst ihr folgendes machen:
Schritt 1: SMB1-Protokoll
Zuerst deaktivieren wir das SMB1-Protokoll, das bereits 30 Jahre auf dem Buckel hat und heutzutage kaum noch genutzt wird.
Windows 7:
- Wenn ihr Windows 7 nutzt, müsst ihr zuerst den Registrierungs-Editor öffnen. (z.B. über das Drücken der Windows Taste und R und dem anschließenden Eingeben von „regedit.exe“.)
- Hier angekommen navigiert ihr an folgenden Pfad: „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters“
- Im rechten Bereich des Programms klickt ihr nun rechts, um einen neuen DWORD-Wert (32-Bit) zu erstellen. Diesen nennen ihr „SMB1“ und übernehmt den Standard Wert 0
Windows 8 und 10:
Wenn ihr Windows 8(.1) oder 10 nutzt, könnt ihr euch diese Prozedur sparen, denn es gibt einen bequemeren Weg:
- Ihr drückt die Windows Taste und R gleichzeitig und gebt hier „optionalfeatures.exe“ ein.
- Nun öffnet sich ein kleines Fenster, in dem ihr lediglich den Haken bei „Unterstützung für die SMB 1.0/CIFS-Dateifreigabe“ entfernen müsst.
Schritt 2: Windows Management Instrumentation
Im zweiten Schritt deaktivieren wir den Windows Management Instrumentation (WMI) Dienst, der von den meisten Nutzern nicht benötigt wird. Meist wird dieser in Firmen oder von Admins verwendet, um sich auf andere Rechner aufschalten zu können. Sollte dennoch ein Programm, das ihr nutzt WMI nutzen, dann wird dies beim Starten des Programmes automatisch mitgestartet. Von außen kann jedoch nicht mehr darauf zugegriffen werden, wodurch ihr sicher seid.
- Zuerst startet ihr eine Eingabeaufforderung (CMD) mit Administratorrechten. (z.B. über das Startmenü –> Suche CMD –> Rechtsklick –> Als Administrator ausführen)
- In CMD gebt ihr nun den Befehl „net stop winmgmt“ ein und schickt diesen mit Enter ab.
- Während der Verarbeitung des Vorgangs, werdet ihr gefragt, ob ihr dies wirklich durchführen wollt. Dies bestätigt ihr durch die Eingabe von „J“.
- Zum Rückgängigmachen nutzt ihr einfach den Befehl „net start winmgmt“
Update Anmerkung: Da einige Leser über die Tatsache verwundert und besorgt waren, dass das Windows Sicherheitscenter ebenfalls durch das Beenden des Windows Management Instrumentation Dienstes deaktiviert und beendet wird, muss an dieser Stelle nachträglich noch etwas klargestellt werden: Wie bereits im Text geschrieben, starten Programme, die den Dienst benötigen, diesen automatisch mit. Da das Windows Sicherheitscenter beim Starten von Windows sofort mitgestartet wird, muss der Computer lediglich neugestartet werden.
Zu sehen ist dies nach einem Neustart auch im Task-Manager unter dem Reiter Dienste:
Quelle: SemperVideo
Bildquelle: pixabay
Der Autor
Das Beenden von „winmgmt“ beendet allerdings auch das Sicherheits-Center (Win10 Build 15063.413). Ob das so ratsam ist?! 🤔⁉
Nein, nicht ratsam. Ausserdem wurde SMB mit den März-Patches gefixt. Also ist auch diese Einstellung unnötig.
Besser: Einfach MS Security-Patches installieren. Das reicht als Schutz vollkommen.
Sorry, dass meine Antwort etwas später kommt. Ich habe in den Artikel jetzt eine Anmerkung geschrieben, die erklärt, warum das Beenden keine negativen Folgen haben sollte. Ansonsten kann ich nur Leo mit seinem Kommentar weiter unten zustimmen👍
Hallo, ist die Anmerkung von Firefly richtig?
Ist Windows Mobil davon auch betroffen?
Danke
richtig ist es auf jeden Fall. Der Dienst wird beendet. Aber er wird nach einem Neustart sofort wieder gestartet. Den Rest einfach im Artikel nachlesen😉 und nein Windows Mobile ist nicht betroffen. 😉
Hatte bei mir zur Folge (Schritt 1), dass sich beim Neustart OneDrive for Business nicht mehr starten lies…
Schritt 1 ist keine gute Idee für Benutzer von Fritz NAS. Denn das Netzlaufwerk wird nicht mehr gefunden.
Bekomme jetzt die Fehlermeldung „Dienst „Windows-Sicherheitscenter“ aktivieren“. Wie krieg ich das weg?
Neustarten😉
Ich weis ja nicht ob ich das gut finden soll, oder starten die Dienste nach einem Neustart wieder normal?
Windows PowerShell
Copyright (C) 2016 Microsoft Corporation. Alle Rechte vorbehalten.
PS C:\WINDOWS\system32> net stop winmgmt
Die folgenden Dienste hängen vom Dienst Windows-Verwaltungsinstrumentation ab.
Das Beenden des Dienstes Windows-Verwaltungsinstrumentation beendet auch diese Dienste.
Sicherheitscenter
IP-Hilfsdienst
Spybot-S&D 2 Security Center Service
McAfee CSP Service
Avira Service Host
Möchten Sie diesen Vorgang fortsetzen? (J/N) [N]:
Das würde sämmtliche Sicherheitsprogramme auf einmal schliessen.
Eine Stellungnahme zu den hier genannten Bedenken wäre nicht schlecht.
Allerdings empfehlen andere die selben oder ähnliche Schritte:
http://www.iobit.com/de/tips-wie-schützt-man-sich-vor-petya/goldeneye-ransomware-97.php?p=db
Vielen Dank, dass Sie ein hilfreiches Programm empfohlen haben.
Also ehrlich, wenn ihr hier solche Tipps bringt dann sollte ihr auch darauf eingehen das das Sicherheits Center deaktiviert wird und was genau das bedeutet.
Vertrauenserwckend ist das irgendwie nicht, deshalb habe ich das umgehend rückgängig gemacht.
Hoffe das hatte keine ungewünschten Folgen.
Ein wichtiger Hinweis fehlt. Benutzung auf eigene Gefahr und das Business-User die Finger davon lassen sollten. Nur für Heimanwender und dann auch nur unter Vorbehalt. Besser wieder rausnehmen, den Artikel.
Steht doch drinnen, dass es auf eigene Gefahr ist und, dass die Features meist von Firmen genutzt werden –> In dem Fall Finger weg
Traurig das hier aus dem Team keiner mal eine Stellungmahme bringt.
Das Sicherheitscenter und alle anderen sicherheitsrelevanten Dienste, die bei dieser Methode ausgeschaltet werden, sind nach einem Neustart wieder aktiviert.
Wie die Kommentatoren bereits richtig sagen: Der beste Schutz ist sein System mit Sicherheitspatches aktuell zu halten. Die von uns beschriebene Methode ist, wie der Beitrag explizit erwähnt, nur auf eigenes Risiko durchzuführen.
Die gleiche Anleitung ist von mehreren seriösen Quellen durchgeführt worden.
Wenn man die Anleitung durchgeführt hat, kann man kein Steam mehr ausführen (Anmeldung ist nicht möglich), da Steam anscheinend auf diesem Protokoll basiert.
Was ist nach neustart?
Ist ja nur ne Abhilfe zu Sicherheitszwecken aber natürlich kein Optimum… Ist doch logisch, dass es in Windows keine Funktion gibt, die nur von Viren genutzt wird aber nicht von anderen Programmen. Scheinbar nutzt Steam eben noch SMB1
Mal OT.. Mein PC funzt nimmer richtig. Der Defender zeigt mir an, das der Treiber defekt ist. Wenn ich ihn dann aktualisieren lasse, dann kann er das Problem nicht lösen. Was kann ich da machen?
Denn ich weiß nicht so recht ob ich einen neuen Treiber über zb Chip.de installieren soll..
Welche Komponente braucht den neuen Treiber? Dann gehst du auf die Seite des Herstellers und suchst dort nach den Treibern für dein Gerät.
Oh, Danke für die schnelle Antwort!
„Nuvoton EC Generatic HID“.
Wenn ich dann auf „diese Korrektur anwenden“ klicke, dann empfiehlt mir der Defender eine Neustart (Neuinstallation des Systems). Dies würde ich natürlich am liebsten vermeiden 🙂
Jetzt weiß ich natürlich auch nicht auf welche Seite ich das gehen soll.
Und kann das überhaupt am Treiber liegen, das der PC keine WLAN Verbindung mehr herstellen kann. Muss jetzt ständig das LAN Kabel raus ziehen dafür. Was natürlich nicht das einzige Problem seit neuestem ist..
Im voraus schon mal Dank für die Mühe.
EDIT: „unbekanntes USB-Gerät (Fehler beim Anfordern einer Gerätebeschreibung) funktioniert nicht ordnungsgemäß“.. Hä🤔
Puh… Da scheint einiges nicht zu passen… Frag bei solchen Dingen lieber mal im Forum nach 😉
Puh 😅 okay. Da scheint was im Argen zu liegen..
Da ich mich eh gerade von ’ner Sommer Grippe erhole habe ich heute Zeit. Ich glaub ich versuch mal den Kasten, gemäß der Empfehlung neu aufzusetzen..
Jedenfalls Danke ✌