2.372
Bearbeitungen
Änderungen
keine Bearbeitungszusammenfassung
* Die Schadsoftware verwendet desweiteren eine modifizierte Version des gestohlenen und ausgelaufenes NSA [https://isc.sans.edu/forums/diary/ETERNALBLUE+Windows+SMBv1+Exploit+Patched/22304/ EternalBlue SMB Exploits], welches auch schon bei [[WannaCry]] im Einsatz war.
* Entscheidend ist, Petya/NotPetya versucht Administratorzugriff zu bekommen und zu benutzen, um so Zugriff auf weitere Geräte im Netzwerk zu erlangen, um am Ende die totale Kontrolle über das Netzwerk zu bekommen.
* Das NSA-Exploit zu verwenden, ist nur eine der Möglichkeiten, Admin-Zugang zu erhalten. Weitere Möglichkeiten bestehen darin, einem als Admin angemeldetem Benutzer dazu zu verleiten, einen schädlichen E-Mail-Anhang zu öffnen oder einem als Admin angemeldetem Benutzer mit Schadroutinen versehene Software-Updates unterzujubeln. Eine so installierte Schadsoftware hat praktisch alle Möglichkeiten, das System zu manipulieren bis hin zum Neuschreiben des MBR, damit der Computer direkt beim Start eine schädliche Aktion durchführt, die z. B. die Verschlüsselung sein kannoder der Computer erst gar nicht mehr startet.
