Petya
Inhaltsverzeichnis
Petya
Petya (auch NotPetya genannt) ist ein sog. Verschlüsselungs-Trojaner (Ransomware), der sich als Wurm von befallenen Systemen aus über eine Sicherheitslücke in Windows Dateifreigaben (SMB) verbreitet. Die Sicherheitslücke wurde durch die Exploits namens EternalBlue möglich, den die Crackergruppe Shadow Brokers veröffentlicht hatte und der vermutlich aus dem Arsenal des amerikanischen Geheimdienstes NSA stammt.
Die Sicherheitslücke bzgl. der Dateifreigaben (SMB) wurde von Microsoft bereits im März 2017 geschlossen. Viele Systeme wurden dennoch von den Administatoren nicht aktualisiert, was zu der großen Ausbreitung der Infektion führte, denn wenn ein Rechner in einem lokalen Netz mit Petya infiziert ist, versucht er, andere Windows-Systeme im Netzwerk zu finden, die für EternalBlue anfällig sind.
Mit KB4012598 bringt Microsoft einen Notfall-Patch gegen Verschlüsselungstrojaner für alle Windows-Systeme, auch für jene, die regulär nicht mehr gepatcht werden.
Wie verbreitet sich Petya?
Hier eine Zusammenfassung des Petya/NotPetya Ausbruchs:
- Die Malware nutzt eine Reihe von Tools, um sich innerhalb eines Netzwerks zu bewegen und weitere im Netzwerk vorhandene Geräte infizieren. Die Schadsoftware verwendet außerdem eine angepasste Version der Open Source Software Minikatz, um Netzwerk-, Administrator- und Anmeldeinformationen aus dem laufenden Speicher des Gerätes zu extrahieren. Diese Informationen werden dann dazu verwendet, um das Ausführen von Befehlen auf anderen Geräte über PsExec und WMIC zu ermöglichen, um diese ebenfalls zu infizieren.
- Die Schadsoftware verwendet desweiteren eine modifizierte Version des gestohlenen und ausgelaufenes NSA EternalBlue SMB Exploits, welches auch schon bei WannaCry im Einsatz war.
- Entscheidend ist, Petya/NotPetya versucht Administratorzugriff zu bekommen und zu benutzen, um so Zugriff auf weitere Geräte im Netzwerk zu erlangen, um am Ende die totale Kontrolle über das Netzwerk zu bekommen.
- Das NSA-Exploit zu verwenden, ist nur eine der Möglichkeiten, Admin-Zugang zu erhalten. Weitere Möglichkeiten bestehen darin, einem als Admin angemeldetem Benutzer dazu zu verleiten, einen schädlichen E-Mail-Anhang zu öffnen oder einem als Admin angemeldetem Benutzer mit Schadroutinen versehene Software-Updates unterzujubeln. Eine so installierte Schadsoftware hat praktisch alle Möglichkeiten, das System zu manipulieren bis hin zum Neuschreiben des MBR, damit der Computer direkt beim Start eine schädliche Aktion durchführt, die z. B. die Verschlüsselung sein kann oder der Computer erst gar nicht mehr startet.
Wie können Sie sich schützen?
In unserem Botfrei-Blog finden Sie eine ausführliche und bebilderte Anleitung, was Sie tun können, um sich schützen.
Um sich vor ähnlichen Vorfällen in Zukunft besser zu schützen, sollte man die automatische Update-Funktion im Betriebssystem aktivieren, und zudem regelmäßig Backups anlegen. Diese helfen bei einer Ransomware-Infektion, das eigene System ohne gravierenden Datenverlust wiederherzustellen. Dabei sollten die Backup-Daten getrennt bzw. geschützt vom eigentlichen System gespeichert werden, da sich Erpressungstrojaner wie WannaCry und Petya auch auf weiteren Geräten im Netzwerk verbreiten und diese ebenfalls verschlüsseln. Neben Backups und Updates sollten Unternehmen zudem auf ein professionelles Sicherheitspaket setzen, aber auch weiterhin und regelmäßig die eigenen Mitarbeiter gegenüber solchen Bedrohungen sensibilisieren. |
Betroffene Unternehmen, Behörden und Institutionen sollten sich zudem an das BSI wenden und davon absehen, ein Lösegeld an die Erpresser zu zahlen, denn es ist aktuell nicht bekannt, dass das Zahlen des Lösegeld tatsächlich zur Entschlüsselung der eigenen Daten führt.
"Ist Ihr Rechner von einem Erpressungs-Trojaner gesperrt und die Daten verschlüsselt, können die Infektion aber nicht einordnen, lesen sie bitte hier >>
Update 29.06.2017: Inzwischen haben Experten die Schadsoftware weiter analysiert und sind zu dem Schluss gekommen, dass es in erster Linie bei dieser Schadsoftware nicht darum geht, Geld zu generieren, wie das normalerweise bei Ransomware der Fall ist. Offensichtlich geht es darum, größtmöglichen Schaden an den infizierten Rechnern anzurichten. Details finden Sie in dem englischsprachigen Bericht von Bleeping Computer und in diesem Spiegel-Artikel.
Update 03.08.2017: Es wurde ein Petya-Entschlüsselungstool von Malwarebytes veröffentlicht.
Weiterführende Links
- Botfrei: Impfstoff gegen Petya
- Botfrei Blogeinträge zum Thema Petya
- BSI Erneut weltweite Cyber-Sicherheitsvorfälle durch Ransomware
- Technische Details zu Petya hat Bleeping Computer in diesem Artikel zusammengefasst.
- Hier beschreibt Bleeping Computer, was Sie neben Windows Updates durchführen können, um sich vor Petya zu schützen.