Petya: Erpressungs-Trojaner ist zurück und legt Firmen und Behörden lahm
Die Ransomware Petya wütet wieder, vor allem in Russland und der Ukraine, breitet sich aber auch in Europa aus. Dabei gibt es Gemeinsamkeiten mit WannaCry.
Die Ransomware Petya ist zurück und trieb zu Beginn vor allem in Russland und in der Ukraine ihr Unwesen. Nach Berichten der russischen Nachrichten-Agentur Tass sind nicht nur Firmen und Banken, sondern auch Teile der ukrainischen Regierung von dem Erpressungs-Trojaner betroffen.
Der massive Cyberangriff auf russische und ukrainische Computer wurde am 27. Juni um 14 Uhr Moskauer Zeit (13 Uhr in Deutschland) registriert. Tass beruft sich auf Group-IB, einer Firma die sich mit der Abwehr und Untersuchung von Cyber-Kriminalität befasst. Laut Group-IB verbreitet sich Petya über lokale Netzwerke - solch ein Verhalten zeigte auch der Trojaner WannaCry, der im vergangen Monat global für Ausfälle sorgte.
Petya zurück durch Eternal Blue-Exploit
Der Expressungs-Trojaner Petya war bereits im vergangenen Jahr aktiv und griff in Deutschland Windows-PCs an. Nun ist er zurück. Petya verschlüsselt und sperrt betroffene Computer. Die aktuelle Lösegeldforderung der Kriminellen hinter der Ransomware beträgt laut Tass 300 US-Dollar in Bitcoin.
Inzwischen hat der Antiviren-Software-Betreiber Avira in einem Tweet bekannt gegeben, dass für Petya dieses Mal ein Exploit namens Eternal Blue zum Einsatz kam. Eternal Blue steht im Verdacht, von der US-amerikanischen National Security Agency (NSA) entwickelt und genutzt worden zu werden. Forbes berichtete, der Exploit über Eternal Blue wurde bereits im Zusammenhang mit dem WannaCry-Virus missbraucht, um die Schadsofftware weiter in Umlauf zu bringen, bestätigt hatte dies ein unabhängiger Malware-Forscher namens Kafeine.
Postfach für Petya-Ransom gesperrt
Petya breitet sich immer weiter aus. Nun sind auch große internationale Firmen wie das US-Pharmaunternehmen Merck, der Lebensmittelgigant Mondelez, die Anwaltskanzlei DLA Piper und die dänische Logistikfirma AP Moller-Maersk betroffen, wie The Guardian berichtet.
Unterdessen wurde das E-Mail-Postfach der Erpresser hinter Petya gesperrt. Betroffene, deren Computer durch Petya gesperrt wurde, hatten bis gestern noch die Möglichkeit, die Bezahlungsbestätigung für die verlangten Bitcoins an eine E-Mail-Adresse beim deutschen E-Mail-Provider Posteo zu schicken. Bei Posteo ist man auf diesen Sachverhalt aufmerksam geworden und hat das Postfach der Erpresser deaktiviert. Diese können nun nicht mehr auf ihr Postfach zugreifen. Ebenso wenig können Mails an das betreffende Postfach geschickt werden. "Wir dulden keinen Missbrauch unserer Plattform", heißt es in einer Stellungnahme von Posteo.
28.6.2017 von Annegret Mehlfeld
Quelle: Petya: Erpressungs-Trojaner ist zurück und legt Firmen und Behörden lahm - PC Magazin
Update: Impfung gegen neue Quasi-Petya-Ransomware
Gegen die aktuelle Variante der derzeit grassierenden Ransomware gibts eine Art Impfung. Wir zeigen, wie das geht.
von Gaby Salvisberg 28.06.2017
Die Ransomware, die sich derzeit unter anderem über die NSA-Lücke «EternalBlue» ausbreitet, lässt sich mit einer Art Impfung stoppen. Das kann sinnvoll sein, auch wenn der PC mittels Windows-Update voll durchgepatcht ist.
Wie ein Sicherheitsexperte entdeckt hat, erstellt die Ransomware im Windows-Ordner Dateien mit ganz bestimmten Namen. Wenn diese Dateien dort jedoch schon vorhanden und mit Schreibschutz versehen sind, dann fällt die Malware auf die Schnauze, weil es die Files nicht erzeugen kann.
Auf der erwähnten Webseite gibts ein Batch-File herunterzuladen, das genau diesen Umstand nutzt und die Impf-Dateien erstellt. Für Interessierte ist unten der Quellcode der Batchdatei dokumentiert. Sie können ihn auch kopieren und in eine selbsterzeugte Datei mit Endung .bat stecken. Wir empfehlen, die Batchdatei von der erwähnten BleepingComputer-Webseite herunterzuladen; dort ist sie korrekt formatiert, was wir beim Kopieren/Einfügen von Quelltext ab einer Webseite nicht garantieren können. Voilà, der Quellcode:
Quellcode
- @echo off
- REM Administrative check from here: https://stackoverflow.com/questions/4051883/batch-script-how-to-check-for-admin-rights
- REM Vaccination discovered by twitter.com/0xAmit/status/879778335286452224
- REM Batch file created by Lawrence Abrams of BleepingComputer.com. @bleepincomputer @lawrenceabrams
- echo Administrative permissions required. Detecting permissions...
- echo.
- net session >nul 2>&1
- if %errorLevel% == 0 (
- if exist C:\Windows\perfc (
- echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
- echo.
- ) else (
- echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
- echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
- echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat
- attrib +R C:\Windows\perfc
- attrib +R C:\Windows\perfc.dll
- attrib +R C:\Windows\perfc.dat
- echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
- echo.
- )
- ) else (
- echo Failure: You must run this batch file as Administrator.
- )
- pause
Wichtig: Die Impfung nützt nur so lange, bis der Schädling sich neue Dateinamen ausdenkt! Ausserdem kann es sich im Moment lohnen, eine gute Antivirensoftware an Bord zu haben.
Update 14:20: Sicherheitsexperte Guy Leech hat einen zusätzlichen Weg beschrieben, die Systeme zu impfen. Dieser kann zwei wichtige Einfallstore von Schädlingen dieser Art schliessen. Man erstellt in der Registry in diesem Zweig:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Diese Unterzweige:
psexec.exe
wmic.exe
Achtung – kleines Update 29.6.17: Anfangs enthielt der oben erwähnte Zweigname «psexec.exe» einen Tippfehler (es fehlte das c). Im unten eingefügten Code für die .reg-Datei war der Eintrag jedoch richtig.
Im rechten Fensterteil erhalten beide je einen Eintrag namens «Debugger» mit dem Wert «svchost.exe». Das lässt sich übrigens alles mit einem Registry-Import-File erledigen. Erstellen Sie eine Textdatei z.B. mit Namen impf2.reg. Fügen Sie dort den folgenden Code ein:
Quellcode
Speichern sie die Datei und importieren Sie sie per Doppelklick.
Wichtig: Sie sollten sich irgendwo Notizen machen, dass Sie diese zwei Einträge hinzugefügt haben. Es könnte eines Tages nötig sein, diese wieder zu entfernen.
Quelle: Update: Impfung gegen neue Quasi-Petya-Ransomware