Große Infektionswelle
Berichten aus den betroffenen Regionen zur Folge ist eine Infektionswelle mit der Petya-Ransomware unterwegs. Sie nutzt anscheinend den Eternalblue-Exploit, den auch schon WannaCry benutzt hat.
In Osteuropa seien mittlerweile etwa 80 größere Betriebe betroffen, darunter auch ein Ölkonzern. Dieser ist bereits gezwungen, auf Server-Reservekapazitäten umzuschalten, um die Produktion aufrechterhalten zu können. Auch ein großer Logistikdienstleister ist von der Infektionswelle betroffen.
G DATA-Kunden sind geschützt
Die aktuell im Umlauf befindliche Variante wird von allen G DATA-Lösungen erkannt als Win32.Trojan-Ransom.Petya.V. beziehungsweise Trojan.Ransom.GoldenEye.B. Die ExploitProtection und auch das AntiRansomware-Modul bieten zusätzlichen Schutz.
Technische Details
Mittlerweile ist scheinbar geklärt, wie die Infektionswelle ihren Ursprung nahm. Nach dem aktuellen Stand wurde sehr wahrscheinlich der Updatemechanismus einer unter anderem in der Ukraine weit verbreiteten Buchhaltungssoftware kompromittiert. Auf diesem Wege wurden die ersten Maschinen über ein Update dieser Software infiziert.
Anders als WannaCry verbreitet sich die Ransomware allerdings nicht über das Internet - der genutzte Eternalblue-Exploit wird stattdessen "nur" für die netzwerkinterne Verbreitung der Schadsoftware genutzt - hier werden Administrator-Credentials gestohlen und für die Verbreitung auf die $admin - Freigaben benutzt.
Auch bei der Verschlüsselung selbst gibt es einige altbekannte Merkmale. So prüft die Ransomware unter Anderem, ob sie Administratorrechte erlangen kann, um bestimmte Bereiche der Festplatte zu überschreiben. Abhängig davon wird der Rechner entweder zum Absturz gezwungen und neu gestartet oder eben nicht.
Es gibt diesmal keinen Killswitch
Entgegen einigen Berichten, die in sozialen Medien aufgetaucht sind, verfügt die vorliegende Variante jedoch nicht über den so genannten Killswitch (Not-Aus-Schalter), der WannaCry ins Straucheln brachte.
Wie es derzeit den Anschein hat, funktioniert die Verbreitungskomponente der neuesten Petya-Version unter Windows XP zumindest stabiler als das bei WannaCry der Fall war. Desweiteren löscht Petya in der aktuellen Version bei der Infektion auch die Windows-Eventlogs.
Die folgenden Dateitypen werden von Petya verschlüsselt:
.3ds .7z .accdb. ai. asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk
.djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt
.pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls.
xlsx .xvd .zip
Gegenmaßnahmen und Schadensminderung
Derzeit sind einige wirksame Maßnahmen bekannt, die eine Infektion verhindern können:
- Die neuesten Windows-Updates sollten installiert werden. Hierdurch werden die Schwachstellen, die der Exploit Eternalblue ausnutzt, geschlossen. Die Updates sind seit März 2017 verfügbar.
- Um Infektionen über die Windows Management Instrumentation (WMI) zu verhindern, müssen Administratoren einige von Microsoft empfohlene Maßnahmen ergreifen.
- Die Remotecodeausführung mit PSExec oder WMI erfordert Administratorrechte. Diese Rechte sollten gewöhnliche Nutzer im Netzwerk nicht erhalten.
Zudem weisen wir nochmal darauf hin, keinesfalls Lösegeld zu bezahlen. Auf diesem Wege erhalten Betroffene ihre verschlüsselten Daten nicht zurück. Die Kontakt-E-Mail-Adresse in der Ransom Note (Erpresserbrief) ist nicht mehr erreichbar, da sie vom E-Mail-Anbieter geschlossen wurde.
Wenn eine Infektion bemerkt wurde, bevor die Ransom Note erscheint, schalten Sie das System sofort aus. Starten Sie die Maschine unter keinen Umständen neu - es gibt eine Chance, dass nicht alles bereits verschlüsselt ist. Experten, wie die G DATA Advanced Analytics, können hier weiterhelfen.
