Discussion:
WannaCry: Angriff mit Ransomware legt auch Rechner der DB lahm
(zu alt für eine Antwort)
Gerrit Borheier
2017-05-13 04:34:03 UTC
Permalink
Raw Message
Laut heise online und SWR sind auch Rechner der Deutschen Bahn
betroffen. Ein Foto wird von heise online gezeigt (s. Link).


<https://www.heise.de/newsticker/meldung/WannaCry-Angriff-mit-Ransomware-legt-weltweit-Zehntausende-Rechner-lahm-3713235.html>
Wolfgang Kynast
2017-05-13 07:29:41 UTC
Permalink
Raw Message
Post by Gerrit Borheier
Laut heise online und SWR sind auch Rechner der Deutschen Bahn
betroffen. Ein Foto wird von heise online gezeigt (s. Link).
<https://www.heise.de/newsticker/meldung/WannaCry-Angriff-mit-Ransomware-legt-weltweit-Zehntausende-Rechner-lahm-3713235.html>
Update 6:45: "Die Bahn bestätigte inzwischen in den frühen
Morgenstunden des Samstags, dass ihre Fahrgastinformationssysteme in
den Bahnhöfen infiziert sind. Der Bahnverkehr sei aber nicht betroffen
und laufe ohne Einschränkung."
--
Schöne Grüße,
Wolfgang
Arne Johannessen
2017-05-13 08:43:02 UTC
Permalink
Raw Message
Post by Wolfgang Kynast
Update 6:45: "Die Bahn bestätigte inzwischen in den frühen
Morgenstunden des Samstags, dass ihre Fahrgastinformationssysteme in
den Bahnhöfen infiziert sind. Der Bahnverkehr sei aber nicht betroffen
und laufe ohne Einschränkung."
Ich soll 300 Dollar zahlen, nur um zu erfahren, ob der Zug verspätet
ist!? Jetzt übertreibt die Bahn es aber.
--
Arne Johannessen
Gerald Gruner
2017-05-13 14:27:38 UTC
Permalink
Raw Message
Post by Gerrit Borheier
Laut heise online und SWR sind auch Rechner der Deutschen Bahn
betroffen. Ein Foto wird von heise online gezeigt (s. Link).
<https://www.heise.de/newsticker/meldung/WannaCry-Angriff-mit-Ransomware-legt-weltweit-Zehntausende-Rechner-lahm-3713235.html>
Dann muss wohl ein Bahnmitarbeiter an einem dienstlichen Computer einen
falschen Link angeklickt haben. Hoffentlich hat er ihn nicht privat benutzt
und so verseucht...

MfG
Gerald
--
No trees were killed in the sending of this message. However
a large number of electrons were terribly inconvenienced.
Thorsten Klein
2017-05-13 19:04:51 UTC
Permalink
Raw Message
Post by Gerald Gruner
Dann muss wohl ein Bahnmitarbeiter an einem dienstlichen Computer einen
falschen Link angeklickt haben. Hoffentlich hat er ihn nicht privat benutzt
und so verseucht...
Das Ding befällt Windowsrechner. Die Fahrgastinformationsrechner, die
ich kenne, laufen unter Linux. Das haben mal die Softies aus der
Nachbarabteilung gemacht, da waren Linuxkenntnisse gefragt.
Bastian Blank
2017-05-14 07:14:32 UTC
Permalink
Raw Message
Post by Thorsten Klein
Das Ding befällt Windowsrechner. Die Fahrgastinformationsrechner, die
ich kenne, laufen unter Linux. Das haben mal die Softies aus der
Nachbarabteilung gemacht, da waren Linuxkenntnisse gefragt.
Vielleicht gibt es ja unterschiedliche Generationen dieser Rechner mit
unterschiedlicher Software?

Bastian
Stefan Reuther
2017-05-14 08:45:58 UTC
Permalink
Raw Message
Post by Bastian Blank
Post by Thorsten Klein
Das Ding befällt Windowsrechner. Die Fahrgastinformationsrechner, die
ich kenne, laufen unter Linux. Das haben mal die Softies aus der
Nachbarabteilung gemacht, da waren Linuxkenntnisse gefragt.
Vielleicht gibt es ja unterschiedliche Generationen dieser Rechner mit
unterschiedlicher Software?
Die "ein Display, farbig" Anzeigen kommen doch einfach nur aus dem
Browser. Wer das Bild aus dem Heiseticker ähnlich nachspielen will:
https://iris.noncd.db.de/wbt/js/index.html?typ=an&bhf=DC

Da ist dann ziemlich egal, was für ein Betriebssystem darunter liegt.
Reparatur heißt dann: platt machen, neu installieren, neue URL in den
Autostart eintragen.


Stefan
Reinhard Greulich
2017-05-14 19:13:01 UTC
Permalink
Raw Message
Post by Stefan Reuther
Da ist dann ziemlich egal, was für ein Betriebssystem darunter liegt.
Reparatur heißt dann: platt machen, neu installieren, neue URL in den
Autostart eintragen.
So ist es. Die betroffenen Displays haben offenbar ein embedded
Windows laufen, werden aufgehängt, eingerichtet und nie mehr
angefasst, fragen dann nur noch den Webservice ab. Da das Ding als
Wurm kommt und nicht als Trojaner, braucht das auch niemand
anzufassen, wenn der irgendein Exploit nutzt.

Gruß - Reinhard.
--
70086
~=@=~
U***@web.de
2017-05-15 15:49:59 UTC
Permalink
Raw Message
Post by Reinhard Greulich
Post by Stefan Reuther
Da ist dann ziemlich egal, was für ein Betriebssystem darunter liegt.
Reparatur heißt dann: platt machen, neu installieren, neue URL in den
Autostart eintragen.
So ist es. Die betroffenen Displays haben offenbar ein embedded
Windows laufen, werden aufgehängt, eingerichtet und nie mehr
angefasst, fragen dann nur noch den Webservice ab.
Heute im 430er der Frankfurter S-Bahn fehlten Verspätungs- und
Anschlußhinweise auf dem Innenbildschirm. Sieht fast wie
Notbetrieb aus.
Marc Haber
2017-05-15 18:14:16 UTC
Permalink
Raw Message
Post by U***@web.de
Post by Reinhard Greulich
Post by Stefan Reuther
Da ist dann ziemlich egal, was für ein Betriebssystem darunter liegt.
Reparatur heißt dann: platt machen, neu installieren, neue URL in den
Autostart eintragen.
So ist es. Die betroffenen Displays haben offenbar ein embedded
Windows laufen, werden aufgehängt, eingerichtet und nie mehr
angefasst, fragen dann nur noch den Webservice ab.
Heute im 430er der Frankfurter S-Bahn fehlten Verspätungs- und
Anschlußhinweise auf dem Innenbildschirm. Sieht fast wie
Notbetrieb aus.
Dito in der S-Bahn Rhein-Neckar. Gestern 14.00 war in Mannheim noch
alles tot, um 18.00 Uhr in Hamburg haben die Anzeigen schon wieder was
angezeigt. Heute solide wieder alles in Betrieb.

Ich würde sagen, da hat ein Notfallplan funktioniert. Chapeau an die
Kollegen der DB, nachdem man sie dafür geshamed hat, dass man für
sowas Windows einsetzt und dann das Patchmanagement nicht im Griff
hat.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
U***@web.de
2017-05-16 15:51:00 UTC
Permalink
Raw Message
Moin,
Post by Marc Haber
Post by U***@web.de
Heute im 430er der Frankfurter S-Bahn fehlten Verspätungs- und
Anschlußhinweise auf dem Innenbildschirm. Sieht fast wie
Notbetrieb aus.
Dito in der S-Bahn Rhein-Neckar. Gestern 14.00 war in Mannheim noch
alles tot,
Alle Bahnsteiganzeigen in Mainz zeigten heute Stunde 12:

"Bitte Aushangfahrplan beachten"

Kennt man sonst von den DFI der Mainzer MVG, wo der Spruch
allerdings nicht auf die verfügbare Zeile paßt.

Gruß, ULF
Wolfgang Kynast
2017-05-14 08:43:36 UTC
Permalink
Raw Message
Post by Thorsten Klein
Post by Gerald Gruner
Dann muss wohl ein Bahnmitarbeiter an einem dienstlichen Computer einen
falschen Link angeklickt haben. Hoffentlich hat er ihn nicht privat benutzt
und so verseucht...
Das Ding befällt Windowsrechner. Die Fahrgastinformationsrechner, die
ich kenne, laufen unter Linux. Das haben mal die Softies aus der
Nachbarabteilung gemacht, da waren Linuxkenntnisse gefragt.
Also meinst du, das von Heise gezeigte Bild sei ein Fake?
Ebenso wie die Anzeigen in Freiburg und Heilbronn:
http://www.swr.de/swraktuell/bw/anzeigetafeln-an-bahnhoefen-in-bw-von-cyberattacke-betroffen/-/id=1622/did=19541256/nid=1622/1mnlqri/index.html
--
Schöne Grüße,
Wolfgang
Gerrit Borheier
2017-05-14 14:44:54 UTC
Permalink
Raw Message
Post by Wolfgang Kynast
http://www.swr.de/swraktuell/bw/anzeigetafeln-an-bahnhoefen-in-bw-von-cyberattacke-betroffen/-/id=1622/did=19541256/nid=1622/1mnlqri/index.html
Laut Update auf heise online verwendet Wanacry die Email. Anschliessend
wandelt sich Wanacry in einen "Wurm" und befällt aktiv weitere Rechner
im gleichen Netz.
Reinhard Greulich
2017-05-14 19:14:52 UTC
Permalink
Raw Message
Post by Wolfgang Kynast
Also meinst du, das von Heise gezeigte Bild sei ein Fake?
Es wird sone und solche geben, ist ja auch nicht flächendeckend.
Gemeinsam ist denen eben, dass sie für die Fahrplandarstellung einen
Webservice nutzen und deshalb mit dem Netz verbunden sind. Je nach
Hersteller kann da ein embedded Linux oder halt ein Windows laufen.

Gruß - Reinhard.
--
70086
~=@=~
U***@web.de
2017-05-14 14:54:56 UTC
Permalink
Raw Message
Moin,
Post by Thorsten Klein
Das Ding befällt Windowsrechner. Die Fahrgastinformationsrechner, die
ich kenne, laufen unter Linux.
Du dürftest Dich auf Infobildschirme beziehen.

Läuft Hafas unter Linux?

Gruß, ULF
Lennart Blume
2017-05-14 17:12:54 UTC
Permalink
Raw Message
Post by U***@web.de
Du dürftest Dich auf Infobildschirme beziehen.
Die Infobildschirme sind im Prinzip ein Browserfenster.
Post by U***@web.de
Läuft Hafas unter Linux?
Alles was im Browser läuft, geht auch unter Linux.

Gruß
Lennart
Helmut Barth
2017-05-14 16:51:54 UTC
Permalink
Raw Message
Salut!
Post by Gerald Gruner
Dann muss wohl ein Bahnmitarbeiter an einem dienstlichen Computer einen
falschen Link angeklickt haben. Hoffentlich hat er ihn nicht privat benutzt
und so verseucht...
Oder es lief irgendein Betriebssystemdienst der allergisch auf
bestimmte, überdimensionierte digitale Zuwendungen reagiert hat.

Grüßle, Helmut
Gerald Gruner
2017-05-14 17:10:44 UTC
Permalink
Raw Message
Post by Helmut Barth
Salut!
Post by Gerald Gruner
Dann muss wohl ein Bahnmitarbeiter an einem dienstlichen Computer einen
falschen Link angeklickt haben. Hoffentlich hat er ihn nicht privat benutzt
und so verseucht...
Oder es lief irgendein Betriebssystemdienst der allergisch auf
bestimmte, überdimensionierte digitale Zuwendungen reagiert hat.
Laut Heise erfolgt die Infektion via e-Mail und dem Klicken auf einen bösen
Link. Danak geht es im lokalen Netz weiter.

MfG
Gerald
--
No trees were killed in the sending of this message. However
a large number of electrons were terribly inconvenienced.
Johann Mayerwieser
2017-05-14 17:25:26 UTC
Permalink
Raw Message
Post by Gerald Gruner
Laut Heise erfolgt die Infektion via e-Mail und dem Klicken auf einen
bösen Link. Danak geht es im lokalen Netz weiter.
Diese Hunde gibt es schon lange, ein Bekannter von mir ist zwei Mal drauf
reingefallen.
Beim ersten Mal hat wurde ihm vom Telefonbetreiber zugesagt, dass sie
die Rechnung per Mail wegschicken. Die Rechnung war in der zweiten Mail,
die erste Mail war auch eine "Telefonrechnung". ER hat, als er das
bemerkt hat (und das war innerhalb von 10 Sekunden) den Stromstecker des
PCs gezogen, sein PC war verseucht, die anderen 2 nicht und auf dem NAS
gabs ca. 50 unwichtige Dateien, die gesperrt waren.
Beim zweiten Mal wollte er nicht auf den Link klicken, aber der Finger
war schneller - da ist überhaupt nichts passiert, weil er sofort das
Stromkabel gezogen hat.
Thorsten Klein
2017-05-17 09:25:21 UTC
Permalink
Raw Message
Post by Johann Mayerwieser
Diese Hunde gibt es schon lange, ein Bekannter von mir ist zwei Mal drauf
reingefallen.
Beim ersten Mal hat wurde ihm vom Telefonbetreiber zugesagt, dass sie
die Rechnung per Mail wegschicken. Die Rechnung war in der zweiten Mail,
die erste Mail war auch eine "Telefonrechnung". ER hat, als er das
bemerkt hat (und das war innerhalb von 10 Sekunden) den Stromstecker des
PCs gezogen, sein PC war verseucht, die anderen 2 nicht und auf dem NAS
gabs ca. 50 unwichtige Dateien, die gesperrt waren.
Beim zweiten Mal wollte er nicht auf den Link klicken, aber der Finger
war schneller - da ist überhaupt nichts passiert, weil er sofort das
Stromkabel gezogen hat.
Welches NAS läuft mit Windows? Höchstens doch nur selbstbau-NAS.

Netzstecker vom PC ziehen hilft nicht mehr viel, wenn auch das NAS
befallen ist.
Ralph A. Schmid, dk5ras
2017-05-17 10:19:41 UTC
Permalink
Raw Message
Post by Thorsten Klein
Welches NAS läuft mit Windows? Höchstens doch nur selbstbau-NAS.
Gibt einige, auf denen ein Windows Server 2008 o.Ä. läuft. Hab' so
eines selber im Einsatz. Die Billigheimer haben dagegen wohl immer ein
Linuxderivat. Aber darum geht es hier nicht, es waren ja nur ein paar
Dateien verschlüsselt, weil auf dem NAS hat der Rechner Zugriff per
Freigabe hatte.
Post by Thorsten Klein
Netzstecker vom PC ziehen hilft nicht mehr viel, wenn auch das NAS
befallen ist.
Naja, wenn nur paar verzichtbare Dateien weg sind?! Situation
gerettet. Das OS des NAS wird kaum befallen gewesen sein.


-ras
--
Ralph A. Schmid
http://www.schmid.xxx/ http://www.db0fue.de/
http://www.bclog.de/ http://www.kabuliyan.de/ http://www.mygargoyles.net/
Johann Mayerwieser
2017-05-17 18:24:21 UTC
Permalink
Raw Message
Post by Thorsten Klein
Netzstecker vom PC ziehen hilft nicht mehr viel, wenn auch das NAS
befallen ist.
Hat aber geholfen, weil die andren PC (noch) nicht infiziert waren und
damit keine weiteren Dateien verschlüsselt wurden.

Das NAS ist ein Buffalo, nachdem Windows darauf zugreifen kann, kann es
auch Dateien bearbeiten und somit kann der Virus diese verschlüsseln.
Ralph A. Schmid, dk5ras
2017-05-17 08:25:06 UTC
Permalink
Raw Message
Post by Gerrit Borheier
Laut heise online und SWR sind auch Rechner der Deutschen Bahn
betroffen. Ein Foto wird von heise online gezeigt (s. Link).
<https://www.heise.de/newsticker/meldung/WannaCry-Angriff-mit-Ransomware-legt-weltweit-Zehntausende-Rechner-lahm-3713235.html>
Ich war am WE in einer Ansage/3S-Zentrale, und da waren auch die
meisten Bildschirme dunkel, auf einem war der Trojaner zu sehen.

Konkret hat es von ca. 1700 Verkaufsrechnern weniger als 100 erwischt,
von 6500 Fahrkartenautomaten unter 400 (und die haben sich teilweise
immer wieder durch reboot selbst geheilt bis zur nächsten Attacke,
vermutlich enhanced write filter), dazu leider ein Leit- und
Dispositionssystem, dessen Fehlen offenbar dem Personal viel Arbeit
machte.

Gestern gingen übrigens die meisten FIA offenbar wieder.


-ras
--
Ralph A. Schmid
http://www.schmid.xxx/ http://www.db0fue.de/
http://www.bclog.de/ http://www.kabuliyan.de/ http://www.mygargoyles.net/
Kai Skalweit
2017-05-17 18:26:02 UTC
Permalink
Raw Message
Post by Ralph A. Schmid, dk5ras
Konkret hat es von ca. 1700 Verkaufsrechnern weniger als 100 erwischt,
Sind da auch in beiden Zahlen die Verkaufsstellen der
(privaten) Kiosk-Betreiber drin, die z.B. im VBB Fahr-
karten der S-Bahn Berlin verkaufen?
--
Gruesse
Kai
Ralph A. Schmid, dk5ras
2017-05-18 11:19:09 UTC
Permalink
Raw Message
Post by Kai Skalweit
Sind da auch in beiden Zahlen die Verkaufsstellen der
(privaten) Kiosk-Betreiber drin, die z.B. im VBB Fahr-
karten der S-Bahn Berlin verkaufen?
Ich denke eher nicht, weiß es aber nicht.


-ras
--
Ralph A. Schmid
http://www.schmid.xxx/ http://www.db0fue.de/
http://www.bclog.de/ http://www.kabuliyan.de/ http://www.mygargoyles.net/
U***@web.de
2017-05-18 13:54:08 UTC
Permalink
Raw Message
Moin,
Post by Ralph A. Schmid, dk5ras
Gestern gingen übrigens die meisten FIA offenbar wieder.
Einen Tag später, also gestern, in Mainz Hbf ab 17:48...

Gruß, ULF

Loading...