Petya: Erpressungs-Trojaner ist zurück und legt Firmen und Behörden lahm & Impfung gegen neue Quasi-Petya-Ransomware

  • Allgemein

  • HotPi
  • 928 Aufrufe 3 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Petya: Erpressungs-Trojaner ist zurück und legt Firmen und Behörden lahm & Impfung gegen neue Quasi-Petya-Ransomware

    Weltweiter Ransomware-Angriff
    Petya: Erpressungs-Trojaner ist zurück und legt Firmen und Behörden lahm
    Die Ransomware Petya wütet wieder, vor allem in Russland und der Ukraine, breitet sich aber auch in Europa aus. Dabei gibt es Gemeinsamkeiten mit WannaCry.

    Die Ransomware Petya ist zurück und trieb zu Beginn vor allem in Russland und in der Ukraine ihr Unwesen. Nach Berichten der russischen Nachrichten-Agentur Tass sind nicht nur Firmen und Banken, sondern auch Teile der ukrainischen Regierung von dem Erpressungs-Trojaner betroffen.

    Der massive Cyberangriff auf russische und ukrainische Computer wurde am 27. Juni um 14 Uhr Moskauer Zeit (13 Uhr in Deutschland) registriert. Tass beruft sich auf Group-IB, einer Firma die sich mit der Abwehr und Untersuchung von Cyber-Kriminalität befasst. Laut Group-IB verbreitet sich Petya über lokale Netzwerke - solch ein Verhalten zeigte auch der Trojaner WannaCry, der im vergangen Monat global für Ausfälle sorgte.

    Petya zurück durch Eternal Blue-Exploit

    Der Expressungs-Trojaner Petya war bereits im vergangenen Jahr aktiv und griff in Deutschland Windows-PCs an. Nun ist er zurück. Petya verschlüsselt und sperrt betroffene Computer. Die aktuelle Lösegeldforderung der Kriminellen hinter der Ransomware beträgt laut Tass 300 US-Dollar in Bitcoin.

    Inzwischen hat der Antiviren-Software-Betreiber Avira in einem Tweet bekannt gegeben, dass für Petya dieses Mal ein Exploit namens Eternal Blue zum Einsatz kam. Eternal Blue steht im Verdacht, von der US-amerikanischen National Security Agency (NSA) entwickelt und genutzt worden zu werden. Forbes berichtete, der Exploit über Eternal Blue wurde bereits im Zusammenhang mit dem WannaCry-Virus missbraucht, um die Schadsofftware weiter in Umlauf zu bringen, bestätigt hatte dies ein unabhängiger Malware-Forscher namens Kafeine.

    Postfach für Petya-Ransom gesperrt

    Petya breitet sich immer weiter aus. Nun sind auch große internationale Firmen wie das US-Pharmaunternehmen Merck, der Lebensmittelgigant Mondelez, die Anwaltskanzlei DLA Piper und die dänische Logistikfirma AP Moller-Maersk betroffen, wie The Guardian berichtet.

    Unterdessen wurde das E-Mail-Postfach der Erpresser hinter Petya gesperrt. Betroffene, deren Computer durch Petya gesperrt wurde, hatten bis gestern noch die Möglichkeit, die Bezahlungsbestätigung für die verlangten Bitcoins an eine E-Mail-Adresse beim deutschen E-Mail-Provider Posteo zu schicken. Bei Posteo ist man auf diesen Sachverhalt aufmerksam geworden und hat das Postfach der Erpresser deaktiviert. Diese können nun nicht mehr auf ihr Postfach zugreifen. Ebenso wenig können Mails an das betreffende Postfach geschickt werden. "Wir dulden keinen Missbrauch unserer Plattform", heißt es in einer Stellungnahme von Posteo.

    28.6.2017 von Annegret Mehlfeld

    Quelle: Petya: Erpressungs-Trojaner ist zurück und legt Firmen und Behörden lahm - PC Magazin



    Update: Impfung gegen neue Quasi-Petya-Ransomware
    Gegen die aktuelle Variante der derzeit grassierenden Ransomware gibts eine Art Impfung. Wir zeigen, wie das geht.
    von Gaby Salvisberg 28.06.2017

    Die Ransomware, die sich derzeit unter anderem über die NSA-Lücke «EternalBlue» ausbreitet, lässt sich mit einer Art Impfung stoppen. Das kann sinnvoll sein, auch wenn der PC mittels Windows-Update voll durchgepatcht ist.

    Wie ein Sicherheitsexperte entdeckt hat, erstellt die Ransomware im Windows-Ordner Dateien mit ganz bestimmten Namen. Wenn diese Dateien dort jedoch schon vorhanden und mit Schreibschutz versehen sind, dann fällt die Malware auf die Schnauze, weil es die Files nicht erzeugen kann.

    Auf der erwähnten Webseite gibts ein Batch-File herunterzuladen, das genau diesen Umstand nutzt und die Impf-Dateien erstellt. Für Interessierte ist unten der Quellcode der Batchdatei dokumentiert. Sie können ihn auch kopieren und in eine selbsterzeugte Datei mit Endung .bat stecken. Wir empfehlen, die Batchdatei von der erwähnten BleepingComputer-Webseite herunterzuladen; dort ist sie korrekt formatiert, was wir beim Kopieren/Einfügen von Quelltext ab einer Webseite nicht garantieren können. Voilà, der Quellcode:

    Quellcode

    1. @echo off
    2. REM Administrative check from here: https://stackoverflow.com/questions/4051883/batch-script-how-to-check-for-admin-rights
    3. REM Vaccination discovered by twitter.com/0xAmit/status/879778335286452224
    4. REM Batch file created by Lawrence Abrams of BleepingComputer.com. @bleepincomputer @lawrenceabrams
    5. echo Administrative permissions required. Detecting permissions...
    6. echo.
    7. net session >nul 2>&1
    8. if %errorLevel% == 0 (
    9. if exist C:\Windows\perfc (
    10. echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
    11. echo.
    12. ) else (
    13. echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
    14. echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
    15. echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat
    16. attrib +R C:\Windows\perfc
    17. attrib +R C:\Windows\perfc.dll
    18. attrib +R C:\Windows\perfc.dat
    19. echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
    20. echo.
    21. )
    22. ) else (
    23. echo Failure: You must run this batch file as Administrator.
    24. )
    25. pause
    Alles anzeigen


    Wichtig: Die Impfung nützt nur so lange, bis der Schädling sich neue Dateinamen ausdenkt! Ausserdem kann es sich im Moment lohnen, eine gute Antivirensoftware an Bord zu haben.
    Update 14:20: Sicherheitsexperte Guy Leech hat einen zusätzlichen Weg beschrieben, die Systeme zu impfen. Dieser kann zwei wichtige Einfallstore von Schädlingen dieser Art schliessen. Man erstellt in der Registry in diesem Zweig:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    Diese Unterzweige:
    psexec.exe
    wmic.exe
    Achtung – kleines Update 29.6.17: Anfangs enthielt der oben erwähnte Zweigname «psexec.exe» einen Tippfehler (es fehlte das c). Im unten eingefügten Code für die .reg-Datei war der Eintrag jedoch richtig.
    Im rechten Fensterteil erhalten beide je einen Eintrag namens «Debugger» mit dem Wert «svchost.exe». Das lässt sich übrigens alles mit einem Registry-Import-File erledigen. Erstellen Sie eine Textdatei z.B. mit Namen impf2.reg. Fügen Sie dort den folgenden Code ein:

    Quellcode

    1. Windows Registry Editor Version 5.00
    2. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\psexec.exe]
    3. "Debugger"="svchost.exe"
    4. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmic.exe]
    5. "Debugger"="svchost.exe"


    Speichern sie die Datei und importieren Sie sie per Doppelklick.
    Wichtig: Sie sollten sich irgendwo Notizen machen, dass Sie diese zwei Einträge hinzugefügt haben. Es könnte eines Tages nötig sein, diese wieder zu entfernen.

    Quelle: Update: Impfung gegen neue Quasi-Petya-Ransomware
  • Ransomware-Angriff
    Petya-Comeback: Wiper statt Erpressungs-Trojaner
    Die neue Variante von Petya ist wohl kein Erpressungs-Trojaner, sondern ein sogenannter Wiper. Das bedeutet, Daten befallener PCs wären verloren.

    Verschiedene Stimmen werden laut, dass der vermeintliche Erpressungs-Trojaner Petya, der nun wieder seine Runde macht, in Wahrheit ein Wiper ist. Seit Dienstag berichten News-Portale von Cyber-Angriffen durch Petya. Die Angriffs-Welle startete in Russland und der Ukraine. Bereits 2016 gab es einen Angriff mit der kriminellen Software Petya. Auch wir berichteten.

    Wie die Kaspersky Lab Mitarbeiter Anton Ivanov und Orkhan Mamedov Mittwoch berichteten, sei es für die Daten der Petya-Opfer zu spät. Die vermeintliche Ransomware ist ein Wiper. Während Daten, die per klassischer Ransomware verschlüsselt wurden, durch den Einsatz des richtigen Schlüssels wieder entschlüsselt werden können, ist es bei einem Wiper anders.

    Ein Wiper verschlüsselt Daten so, dass diese mithilfe eines Schlüssels nicht wieder dechiffriert werden können. Für Betroffene ist das die schlimmste Nachricht, denn durch einen Wiper-Angriff sind verschlüsselte Daten verloren. Zu diesem Ergebnis kam auch der Sicherheitsexperte Matthieu Suiche von Comae Technologies.

    Die Lösegeldforderung der Petya-Angreifer von 300 US-Dollar ist mit der Enthüllung der Sicherheits-Experten hinfällig. Egal, ob Opfer den Betrag zahlen oder nicht, die Daten bleiben verschlüsselt. Das E-Mail-Konto für die Kommunikation zwischen Opfer und Täter hatte der Provider Posteo bereits vorher lahm gelegt. Der Petya, bzw. durch die neuen Erkenntnisse auch "NonPetya", ist immer noch aktiv.

    29.6.2017 von Alina Braun

    Quelle: Petya-Comeback: Wiper statt Erpressungs-Trojaner - PC Magazin
  • Erpressungs-Trojaner
    Petya-Comeback: Lösegeld-Forderung über 250.000 US-Dollar aufgetaucht
    Ende Juni legte die Ransomware Petya Regierungen, Behörden und Firmen lahm. Jetzt melden sich die Hacker mit einer Lösegeldförderung.

    In jüngster Vergangenheit schlug die Ransomware Petya wieder zu. Jetzt melden sich die Verantwortlichen, die die neue Welle des Erpressungs-Trojaners ins Leben gerufen haben. Sie verlangen 100 Bitcoin, die gegenwärtig 250.000 US-Dollar wert sind, für den Entschlüsselungs-Code, der Dateien von befallenen Rechnern entschlüsselt.

    Der bereits aus dem Jahr 2016 bekannte Erpressungs-Trojaner funktioniert ähnlich wie WannaCry. Zu Anfang waren hauptsächlich Systeme in der Ukraine und Russland betroffen, doch inzwischen treibt Petya auf Systeme weltweit sein Unwesen.

    Die Hacker sollen inzwischen schon über 10.000 US-Dollar Lösegeld für von Petya verschlüsselte Daten erhalten haben. Doch das ist ihnen nicht genug. Wie die Nachrichten-Webseite Motherboard berichtet, verlangen die Cyberkriminellen nun noch mehr Geld von ihren Opfern.

    Über die Webseite DeepPaste, die über den anonymen Tor-Browser erreichbar ist, verlangen die Petya-Programmierer jetzt noch mehr Geld. Der Entschlüsselungscode soll 100 Bitcoin kosten. Das sind umgerechnet über 250.000 US-Dollar. Das Lösegeld fällt laut den Cyberkriminellen so hoch aus, weil dieser eine Schlüssel alle Dateien auf allen Rechnern entschlüsseln kann.

    Dass die Nachricht von einem Mitglied des Hacker-Kollektivs selbst stammt, ist sehr wahrscheinlich. Laut The Verge enthielt die Nachricht eine mit dem privaten Petya Schlüssel unterzeichnete Datei. Außerdem beweise die Signierung auch, dass der Nachrichten-Schreiber den privaten Schlüssel zum Entschlüsseln von Petya befallener, einzelner Dateien hat. Da der Erpressungs-Tojaner Petya bestimmte Dateien löscht, können infizierte Systeme nicht komplett wiederhergestellt werden. Somit sind höchstens einzelne Teile befallener Daten zu retten.

    6.7.2017 von Alina Braun

    Quelle: Petya-Comeback: Lösegeld-Forderung über 250.000 US-Dollar aufgetaucht - PC Magazin
  • 3 Jahre NotPetya: Der Erpressungstrojaner, der keiner war

    Vor drei Jahren hielt NotPetya deutsche Firmen in Atem. Was wie ein Erpressungstrojaner aussah, entpuppte sich als getarnter Angriff russischer Staatshacker.

    An diesem Wochenende jährt sich der Ausbruch des NotPetya-Trojaners zum dritten Mal. Was zuerst wie eine neue Welle des Erpressungstrojaners Petya aussah, stellte sich später als geschickt getarnter staatlicher Cyberangriff heraus. Die Angreifer hatten es geschafft, die Update-Server der ukrainischen Steuer-Software MeDoc zu übernehmen und ein von ihnen kontrollierbares, bösartiges Update einzuspielen. Da die Software von quasi allen Firmen verwendet wurde, die in der Ukraine Steuern zahlen, war das Chaos enorm, als sich die Angreifer am Morgen des 27. Juni 2017 entschlossen, loszuschlagen.

    Nicht nur in der Ukraine waren Firmen betroffen. Auch deutsche Unternehmen und Weltkonzerne, die Niederlassungen in dem Land betrieben, fingen sich über das automatische MeDoc-Update den Schädling ein. Erschwerend kam hinzu, dass der Update-Prozess fast überall mit Systemrechten und weitreichenden Netzwerkprivilegien ausgestattet war. Der Trojaner übernahm den lokal laufenden MeDoc-Prozess und konnte dann fast nach Belieben schalten und walten und sich in den Unternehmensnetzen verbreiten. Den befallenen Computern löschte er gründlich die Festplatte. Als Stunden später die Updates für Virenprogramme und Intrusion-Detection-Systeme eintrudelten, war es bereits viel zu spät. In vielen betroffenen Firmen war ein Großteil aller Computersysteme nicht mehr benutzbar.

    Zum Arbeiten mit Stift und Papier gezwungen
    Der Schaden für die Weltwirtschaft war beträchtlich. Konservative Schätzungen gehen von mindestens 10 Milliarden US-Dollar aus – mit einigem Abstand vor WannaCry war NotPetya wohl die bisher wirtschaftlich kostspieligste Cyberattacke überhaupt. Der Schaden bei betroffenen Firmen war riesig. Beim dänischen Industrie-Konglomerat Maersk wurde zehn Tage lang mit Papier und Stift gearbeitet, bis die IT komplett neu aufgesetzt war. In der Firma, die mit ihren riesigen Containerschiffen fast 20 Prozent des Welthandels abwickelt, brach das Chaos aus. Schiffe mussten auf teuren Ankerplätzen verharren, da die Ladung nicht mehr gelöscht werden konnte. Bohrinseln mussten den Betrieb einstellen.

    Der Vorstandsvorsitzende von A.P. Møller-Maersk, Jim Hagemann Snabe, beschrieb den 27. Juni 2017 später als einschneidendes Erlebnis. "Alle fünfzehn Minuten erreicht eines unserer Schiffe mit zehn bis zwanzigtausend Containern einen Hafen irgendwo auf der Welt", man könne sich also vorstellen, was los gewesen sei, als plötzlich alle Computer ausfielen. "Ich werde den 27. Juni nie vergessen, ich wurde um vier Uhr morgens geweckt", so Hagemann Snabe ein halbes Jahr später auf dem Weltwirtschaftsforum in Davos. Auch beim US-amerikanischen Pharma-Riesen Merck, bei Beiersdorf in Hamburg und beim britischen Konkurrenten Reckitt Benckiser stand die Produktion still. Ebenfalls betroffen: Das niederländische Transportunternehmen TNT, der französische Industriekonzern Saint Gobain und eine große Anzahl von ukrainischen Firmen (unter anderem der Flugzeughersteller Antonov, Vodafone Ukraine und mehrere Großbanken). Im havarierten Atomkraftwerk Chernobyl fielen die Strahlenmessanlagen aus. Merck allein verbuchte 870 Millionen US-Dollar Verlust in Zusammenhang mit dem NotPetya-Angriff.

    Verspätete Stunde Null im Cyberwar
    Vielen Firmen, vor allem in Deutschland, öffnete NotPetya schlagartig die Augen bezüglich einer Art von Bedrohung, die die meisten bis dato nicht auf dem Schirm gehabt hatten: Staatliche Angreifer, die darauf abzielen, die Wirtschaft in anderen Ländern ins Chaos zu stürzen. Wo WannaCry von vielen noch als einfache Ransomware gesehen wurde, war spätestens nach NotPetya klar, dass jetzt auch Staaten versuchen, ganze Wirtschaftszweige lahmzulegen. Jakub Kroustek, Leiter des Threat Lab Teams beim Antiviren-Hersteller Avast sieht NotPetya in dieser Hinsicht als nicht unbedingt besonders an: "Staatlich bezahlte Cyberangriffe sind leider nichts Neues. Dieses Jahr jährt sich der Stuxnet-Angriff, bei dem eine Schadsoftware Anlagen des iranischen Nuklearprogramms lahmlegte, zum zehnten Mal. Es besteht kein Zweifel daran, dass NotPetya eine gefährliche Masseninfektion mit großem Zerstörungspotential war, aber am Ende wurde die Malware von ihrem älteren Bruder WannaCry überschattet."

    Dass NotPetya ein staatlich finanzierter Angriff war, sieht Kroustek als relativ gesichert an. "WannaCry und NotPetya werden allgemeinhin als staatliche Angriffe gesehen. Ersterer Angriff wurde von Nordkorea und Letzterer von Russland durchgeführt", so der Avast-Forscher. Auch Kryptologe und IT-Sicherheits-Experte Bruce Schneier äußerte sich kürzlich in einem Webinar von heise online zum Thema Cyberwar ähnlich zum NotPetya-Angriff. Die Verortung der Urheber solcher Angriffe (in Fachkreisen meist als Attribution bezeichnet) sei weniger schwer, als viele denken, so Schneier. Bei staatlichen Angriffen habe man oft deutliche Hinweise auf die Urheber, die kämen in vielen Fällen aber nicht aus dem Malware-Code oder Netzwerk-Traffic-Analysen sondern aus Geheimdienstkreisen – mit anderen Worten durch gute alte Spionagearbeit. Bei NotPetya sei Russland eindeutig als Urheber ausgemacht worden, so Schneier. Damit bestätigt er entsprechende Aussagen des US-Geheimdienstes CIA zu dem Angriff.

    Ein Angriff, der heute immer noch funktionieren könnte
    Bruce Schneier, ähnlich wie Kroustek von Avast, sieht Stuxnet als den entscheidenden Punkt in der Geschichte, ab dem Firmen sich darauf hätten einstellen müssen, Kollateralschäden staatlicher Cyberangriffe zu werden. Schneier sieht diese Art der Kriegsführung durch Staaten gegen geopolitische Konkurrenten – also Cyberwar im eigentlichen Sinne – als ein unausweichliches Produkt der Entwicklung des Internets und der damit einhergehenden Verlagerung von Produktions- und Steuerprozessen in digitale Bereiche. Vor drei Jahren, mit NotPetya, kam diese Realität in den Köpfen vieler Firmenchefs an. Heute, in Zeiten des Pandemie-bedingten Home Office, ist diese Erkenntnis wichtiger denn je. Denn unsere Gesellschaft ist in den letzten drei Jahren nicht unbedingt belastbarer geworden, was Angriffe wie NotPetya und WannaCry angeht. Ganz im Gegenteil, IT-Sicherheitsexperten warnen, dass uns ein Angriff dieser Art heute wahrscheinlich härter denn je treffen und eher zu mehr als zu weniger Chaos führen würde.

    Gegen eine Backdoor in einer wichtigen Unternehmenssoftware, die bei vielen Firmen im Einsatz ist und tief in deren Netzwerke integriert ist, wären auch heute wohl nur wenige Firmen gewappnet. Und wir wissen, dass es entsprechende Lücken für solche Angriffe in vielen Produkten gibt – heise Security berichtet fast wöchentlich über entsprechende Schwachstellen. Gut finanzierte staatliche Angreifer haben die Zeit, solche Zero-Days zu finden und bestehende Malware so umzuschreiben, dass Viren-Scanner für ein paar entscheidende Stunden den Schädling nicht entdecken. Genau wie es am 27. Juni 2017, mitten in den Feierlichkeiten zum Ukrainischen Tag der Verfassung, passiert ist – ein Tag, den nicht nur der Maersk-Chef so schnell nicht vergessen wird.

    Bei dem Unternehmen Merck handelte es sich um den US-amerikanischen Pharma-Riesen Merck & Co., nicht um das deutsche Unternehmen Merck KGaA. Die entsprechende Stelle wurde im Text korrigiert.

    Quelle: 3 Jahre NotPetya: Der Erpressungstrojaner, der keiner war | heise online