Petya Ransomware Attack: Wie und wer infiziert ist; Wie man es aufhält
Ein neuer Ransomware-Angriff, der eine modifizierte Version von verwendet EternalBlue-Schwachstelle ausgenutzt in der WannaCry greift an ist am Dienstag erschienen und hat bereits mehr als 2000 PCs weltweit in Spanien, Frankreich, der Ukraine, Russland und anderen Ländern getroffen.
Der Angriff richtete sich in erster Linie gegen Unternehmen in diesen Ländern, während ein Krankenhaus in Pittsburg, USA, ebenfalls getroffen wurde. Zu den Opfern des Angriffs zählen unter anderem die Zentralbank, die Eisenbahnen, Ukrtelecom (Ukraine), Rosnett (Russland), WPP (Großbritannien) und DLA Piper (USA).
Während in der Ukraine die meisten Infektionen festgestellt wurden, war in Russland die zweithöchste Infektionsrate zu verzeichnen, gefolgt von Polen, Italien und Deutschland. Das Bitcoin-Konto, auf dem Zahlungen akzeptiert wurden, hat mehr als 24 Transaktionen abgeschlossen, bevor es geschlossen wurde.
Lesen Sie auch: Petya Ransomware-Hacker verlieren Zugriff auf E-Mail-Konten; Opfer sind gestrandet.Obwohl der Angriff nicht auf Unternehmen in Indien gerichtet ist, zielte er auf den Schifffahrtsgiganten AP Moller-Maersk ab, und der Hafen von Jawaharlal Nehru ist bedroht, da das Unternehmen die Gateway-Terminals im Hafen betreibt.
Wie verbreitet sich die Petya Ransomware?
Die Ransomware verwendet einen ähnlichen Exploit wie die großen WannaCry-Ransomware-Angriffe Anfang dieses Monats, bei denen Computer mit veralteten Windows-Versionen mit geringfügigen Änderungen betroffen waren.
Die Sicherheitsanfälligkeit kann über eine Remotecodeausführung auf PCs ausgenutzt werden unter Windows XP auf Windows 2008-Systeme.
Die Ransomware infiziert den PC und startet ihn mithilfe von Systemprogrammen neu. Beim Neustart wird die MFT-Tabelle in NTFS-Partitionen verschlüsselt und der MBR mit einem benutzerdefinierten Loader überschrieben, der den Lösegeldschein anzeigt.
Gemäß Kaspersky Labs„Um Anmeldeinformationen für die Verbreitung zu erfassen, verwendet die Ransomware benutzerdefinierte Tools, a la Mimikatz. Diese extrahieren Anmeldeinformationen aus dem Prozess lsass.exe. Nach dem Extrahieren werden die Anmeldeinformationen an PsExec-Tools oder WMIC zur Verteilung innerhalb eines Netzwerks übergeben. “
Was passiert nach einer PC-Infektion?
Nachdem Petja einen PC infiziert hat, verliert der Benutzer den Zugriff auf das Gerät, auf dem ein schwarzer Bildschirm mit rotem Text wie folgt angezeigt wird:
„Wenn Sie diesen Text sehen, können Sie nicht mehr auf Ihre Dateien zugreifen, da sie verschlüsselt wurden. Vielleicht suchen Sie nach einer Möglichkeit, Ihre Dateien wiederherzustellen, aber verschwenden Sie nicht unsere Zeit. Niemand kann Ihre Dateien ohne unseren Entschlüsselungsservice wiederherstellen. “
Außerdem gibt es Anweisungen zur Zahlung von 300 US-Dollar in Bitcoins und eine Möglichkeit, den Entschlüsselungsschlüssel einzugeben und die Dateien abzurufen.
Wie bleiben Sie sicher?
Derzeit gibt es keine konkrete Möglichkeit, die von der Petya-Ransomware als Geiseln gehaltenen Dateien zu entschlüsseln, da ein fester Verschlüsselungsschlüssel verwendet wird.
Aber Sicherheits-Website Piepender Computer ist der Ansicht, dass das Erstellen einer schreibgeschützten Datei mit dem Namen 'perfc' und das Ablegen in den Windows-Ordner auf Laufwerk C dazu beitragen kann, den Angriff zu stoppen.
Es ist auch wichtig, dass Benutzer, die dies noch nicht getan haben, den Microsoft-Patch für ältere Windows-Betriebssysteme, mit dem die von EternalBlue ausgenutzte Sicherheitsanfälligkeit behoben wird, sofort herunterladen und installieren. Dies schützt sie vor Angriffen durch eine ähnliche Malware wie Petya.
Wenn der Computer neu startet und Sie diese Meldung sehen, schalten Sie ihn sofort aus! Dies ist der Verschlüsselungsprozess. Wenn Sie das Gerät nicht einschalten, sind die Dateien in Ordnung. pic.twitter.com/IqwzWdlrX6
- Hacker Fantastic (@hackerfantastic) 27. Juni 2017
Die Anzahl und das Ausmaß der Ransomware-Angriffe nimmt mit jedem Tag zu empfohlen dass das Risiko für Neuinfektionen nach den ersten Stunden des Angriffs erheblich abnimmt.
Im Fall von Petya gehen Analysten davon aus, dass sich der Code nicht über das Netzwerk hinaus verbreitet. Bisher konnte niemand ausmachen, wer für diesen Angriff verantwortlich ist.
Sicherheitsforscher haben immer noch keinen Weg gefunden, mit der Petya-Ransomware infizierte Systeme zu entschlüsseln, und da selbst die Hacker jetzt nicht kontaktiert werden können, bleiben dies vorerst alle Betroffenen.