Petya: Unterschied zwischen den Versionen

Aus Siwecos
Wechseln zu: Navigation, Suche
Zeile 1: Zeile 1:
 
=== Petya ===
 
=== Petya ===
  
[[File:petya.jpg|left|300px|Bildquelle: https://www.bleepingcomputer.com]] '''Petya''' oder '''NotPetya''' ist ein sog. Verschlüsselungs-Trojaner ([[Ransomware]]), der sich als [[Wurm]] von befallenen Systemen aus über eine Sicherheitslücke in Windows Dateifreigaben (SMB) verbreitet. Die Sicherheitslücke wurde durch die [[Exploit|Exploits]] namens '''[https://isc.sans.edu/forums/diary/ETERNALBLUE+Windows+SMBv1+Exploit+Patched/22304/ EternalBlue]''' und '''[https://isc.sans.edu/forums/diary/Detecting+SMB+Covert+Channel+Double+Pulsar/22312 DoublePulsar]''' möglich, die die Crackergruppe ''[https://twitter.com/shadowbrokerss?lang=de Shadow Brokers]'' veröffentlicht hatten und die vermutlich aus dem Arsenal des amerikanischen Geheimdienstes [https://www.nsa.gov/ NSA] stammen.  
+
[[File:petya.jpg|left|300px|Bildquelle: https://www.bleepingcomputer.com]] '''Petya''' (auch '''NotPetya''' genannt) ist ein sog. Verschlüsselungs-Trojaner ([[Ransomware]]), der sich als [[Wurm]] von befallenen Systemen aus über eine Sicherheitslücke in Windows Dateifreigaben (SMB) verbreitet. Die Sicherheitslücke wurde durch die [[Exploit|Exploits]] namens '''[https://isc.sans.edu/forums/diary/ETERNALBLUE+Windows+SMBv1+Exploit+Patched/22304/ EternalBlue]''' möglich, den die Crackergruppe ''[https://twitter.com/shadowbrokerss?lang=de Shadow Brokers]'' veröffentlicht hatte und der vermutlich aus dem Arsenal des amerikanischen Geheimdienstes [https://www.nsa.gov/ NSA] stammt.  
  
 
Die Sicherheitslücke bzgl. der Dateifreigaben (SMB) wurde von Microsoft bereits im März 2017 geschlossen. Viele Systeme wurden dennoch von den Administatoren nicht aktualisiert, was zu der großen Ausbreitung der Infektion führte, denn wenn ein Rechner in einem lokalen Netz mit '''Petya''' infiziert ist, versucht er, andere Windows-Systeme im Netzwerk zu finden, die für '''EternalBlue''' anfällig sind.  
 
Die Sicherheitslücke bzgl. der Dateifreigaben (SMB) wurde von Microsoft bereits im März 2017 geschlossen. Viele Systeme wurden dennoch von den Administatoren nicht aktualisiert, was zu der großen Ausbreitung der Infektion führte, denn wenn ein Rechner in einem lokalen Netz mit '''Petya''' infiziert ist, versucht er, andere Windows-Systeme im Netzwerk zu finden, die für '''EternalBlue''' anfällig sind.  

Version vom 28. Juni 2017, 10:40 Uhr

Petya

Bildquelle: https://www.bleepingcomputer.com

Petya (auch NotPetya genannt) ist ein sog. Verschlüsselungs-Trojaner (Ransomware), der sich als Wurm von befallenen Systemen aus über eine Sicherheitslücke in Windows Dateifreigaben (SMB) verbreitet. Die Sicherheitslücke wurde durch die Exploits namens EternalBlue möglich, den die Crackergruppe Shadow Brokers veröffentlicht hatte und der vermutlich aus dem Arsenal des amerikanischen Geheimdienstes NSA stammt.

Die Sicherheitslücke bzgl. der Dateifreigaben (SMB) wurde von Microsoft bereits im März 2017 geschlossen. Viele Systeme wurden dennoch von den Administatoren nicht aktualisiert, was zu der großen Ausbreitung der Infektion führte, denn wenn ein Rechner in einem lokalen Netz mit Petya infiziert ist, versucht er, andere Windows-Systeme im Netzwerk zu finden, die für EternalBlue anfällig sind.

Mit KB4012598 bringt Microsoft einen Notfall-Patch gegen Verschlüsselungstrojaner für alle Windows-Systeme, auch für jene, die regulär nicht mehr gepatcht werden.


Wie verbreitet sich Petya?

Hier eine Zusammenfassung des Petya/NotPetya Ausbruchs:

  • Die Malware nutzt eine Reihe von Tools, um sich innerhalb eines Netzwerks zu bewegen und weitere im Netzwerk vorhandene Geräte infizieren. Die Schadsoftware verwendet außerdem eine angepasste Version der Open Source Software Minikatz, um Netzwerk-, Administrator- und Anmeldeinformationen aus dem laufenden Speicher des Gerätes zu extrahieren. Diese Informationen werden dann dazu verwendet, um das Ausführen von Befehlen auf anderen Geräte über PsExec und WMIC zu ermöglichen, um diese ebenfalls zu infizieren.
  • Die Schadsoftware verwendet desweiteren eine modifizierte Version des gestohlenen und ausgelaufenes NSA EternalBlue SMB Exploits, welches auch schon bei WannaCry im Einsatz war.
  • Entscheidend ist, Petya/NotPetya versucht Administratorzugriff zu bekommen und zu benutzen, um so Zugriff auf weitere Geräte im Netzwerk zu erlangen, um am Ende die totale Kontrolle über das Netzwerk zu bekommen.
  • Das NSA-Exploit zu verwenden, ist nur eine der Möglichkeiten, Admin-Zugang zu erhalten. Weitere Möglichkeiten bestehen darin, einem als Admin angemeldetem Benutzer dazu zu verleiten, einen schädlichen E-Mail-Anhang zu öffnen oder einem als Admin angemeldetem Benutzer mit Schadroutinen versehene Software-Updates unterzujubeln. Eine so installierte Schadsoftware hat praktisch alle Möglichkeiten, das System zu manipulieren bis hin zum Neuschreiben des MBR, damit der Computer direkt beim Start eine schädliche Aktion durchführt, die z. B. die Verschlüsselung sein kann oder der Computer erst gar nicht mehr startet.


Wie können Sie sich schützen?


Um sich vor ähnlichen Vorfällen in Zukunft besser zu schützen, sollte man die automatische Update-Funktion im Betriebssystem aktivieren, und zudem regelmäßig Backups anlegen. Diese helfen bei einer Ransomware-Infektion, das eigene System ohne gravierenden Datenverlust wiederherzustellen. Dabei sollten die Backup-Daten getrennt bzw. geschützt vom eigentlichen System gespeichert werden, da sich Erpressungstrojaner wie WannaCry auch auf weiteren Geräten im Netzwerk verbreiten und diese ebenfalls verschlüsseln. Neben Backups und Updates sollten Unternehmen zudem auf ein professionelles Sicherheitspaket setzen, aber auch weiterhin und regelmäßig die eigenen Mitarbeiter gegenüber solchen Bedrohungen sensibilisieren. Auch im Fall von WannaCry waren E-Mails mit schädlichem Anhang der Auslöser vieler Infektionen.


Betroffene Unternehmen, Behörden und Institutionen sollten sich zudem an das BSI wenden und davon absehen, ein Lösegeld an die Erpresser zu zahlen, denn es ist aktuell nicht bekannt, dass das Zahlen des Lösegeld tatsächlich zur Entschlüsselung der eigenen Daten führt.

       "Ist Ihr Rechner von einem Erpressungs-Trojaner gesperrt und die Daten verschlüsselt, können die Infektion aber nicht einordnen, lesen sie bitte hier >>


Weiterführende Links