Die massive Ransomware WannaCry ist noch nicht tot und ein weiterer groß angelegter Ransomware-Angriff sorgt weltweit für Chaos, infiziert und schaltet Maschinen in großem Umfang ab. Eine neue Malware namens „Petya-Ransomware“ or „Petwrap-Ransomware“ griffen viele Computer in Banken, Unternehmen, Netzteilen und Banken in Russland, der Ukraine, Spanien, Frankreich, Großbritannien, Indien und Europa an und forderten 300 US-Dollar in Bitcoins.
Laut Quellen verbreitet sich die Malware mit Hilfe derselben Windows-SMBv1-Sicherheitslücke, die die WannaCry-Ransomware Anfang Mai 2017 missbraucht hat, um in nur 300,000 Stunden 72 Computer weltweit zu infizieren, rasant.
Was ist Petya-Ransomware?
Petya ist eine bösartige Ransomware und funktioniert ganz anders als jede andere Ransomware-Malware. Im Gegensatz zu anderer herkömmlicher Ransomware verschlüsselt Petya keine Dateien auf einem Zielsystem einzeln.
Stattdessen startet Petya die Computer der Opfer neu und verschlüsselt die Master File Table (MFT) der Festplatte und macht den Master Boot Record (MBR) funktionsunfähig, wodurch der Zugriff auf das gesamte System eingeschränkt wird, indem Informationen über Dateinamen, -größen und -speicherort auf der physischen Festplatte erfasst werden.
Die Petya-Ransomware ersetzt den MBR des Computers durch einen eigenen Schadcode, der die Lösegeldforderung anzeigt und Computer nicht mehr booten lässt. Laut dem Sicherheitsforschungsunternehmen Kaspersky könnte Petya eine Variante von Petya.A, Petya.D oder PetrWrap sein.
Wie wirkt sich die Petya-Ransomware aus?
Die Petya-Ransomware verbreitet sich über das SMB-Protokoll von Microsoft Windows. Es verwendet das Exploit-Tool Eternalblue, das CVE-2017-0144 ausnutzt. Genau wie Wannacry nutzt es ungepatchte Windows-Rechner.
„Petya benutzt die NSA Eternalblau ausnutzen, sondern sich auch in internen Netzwerken mit WMIC und PSEXEC ausbreiten. Deshalb können gepatchte Systeme getroffen werden.“ Mikko Hypponen, Chief Research Officer bei F-Secure, hat getwittert.
Nachdem das System kompromittiert wurde, wird das Opfer aufgefordert, 300 US-Dollar in Bitcoin an eine bestimmte Bitcoin-Adresse zu senden und ihm dann eine E-Mail mit der Bitcoin-Wallet-ID des Opfers zu senden, um seinen individuellen Entschlüsselungsschlüssel abzurufen.
Auf dem Computer des Opfers wird die Meldung angezeigt: „Wenn Sie diesen Text sehen, sind Ihre Dateien nicht mehr zugänglich, da sie verschlüsselt sind. Vielleicht sind Sie damit beschäftigt, nach einer Möglichkeit zu suchen, Ihre Dateien wiederherzustellen, aber verschwenden Sie nicht Ihre Zeit. Niemand kann Ihre Dateien ohne unseren Entschlüsselungsservice wiederherstellen.“
Petya Ransomware trifft Banken, Unternehmen und Telekommunikationsunternehmen
In den letzten Stunden hat die Petya-Ransomware bereits den russischen staatlichen Ölriesen Rosneft, ukrainische staatliche Stromversorger „Kyivenergo“ und „Ukrenergo“ infiziert. Es gibt auch Berichte von mehreren Banken, darunter die Nationalbank der Ukraine (NBU) und die Oschadbank, die bestätigen, dass sie von den Petya-Ransomware-Angriffen getroffen wurden.
Auch Maersk, ein internationales Logistikunternehmen, hat auf Twitter bestätigt, dass die jüngsten Ransomware-Angriffe von Petya seine IT-Systeme an mehreren Standorten und Geschäftsbereichen lahmgelegt haben. Drei ukrainische Telekommunikationsbetreiber, Kyivstar, LifeCell, Ukrtelecom, sind ebenfalls von dem jüngsten Petya-Angriff betroffen.
Zu den schwersten Schäden, die von ukrainischen Unternehmen gemeldet wurden, gehören auch kompromittierte Systeme der ukrainischen U-Bahn und des Kiewer Flughafens Borispil.
Wie verhindert man eine Infektion durch Petya Ransomware?
Sicherheitsforscher fanden heraus, dass die Petya-Ransomware Systeme nach dem Neustart des Computers verschlüsselt. Wenn Ihr System also mit Petya-Ransomware infiziert ist und einen Neustart versucht, schalten Sie es einfach sofort aus.
„Wenn der Computer neu startet und Sie diese Meldung sehen, schalten Sie ihn sofort aus! Dies ist der Verschlüsselungsprozess. Wenn Sie es nicht einschalten, sind die Dateien in Ordnung“, twitterte HackerFantastic.
Wenn der Computer neu startet und Sie diese Meldung sehen, schalten Sie ihn sofort aus! Dies ist der Verschlüsselungsprozess. Wenn Sie nicht einschalten, sind die Dateien in Ordnung. pic.twitter.com/IqwzWdlrX6
— hackerfantastic.x (@hackerfantastic) 27. Juni 2017
Von Petya Ransomware angegriffen? Folgendes sollten Sie tun:
Infizierten Benutzern wird empfohlen, das Lösegeld nicht zu zahlen, da Hacker hinter der Petya-Ransomware Ihre E-Mails nicht mehr abrufen können. Selbst wenn Sie bezahlen, würden Sie Ihre Dateien also nicht zurückbekommen.
Posteo, der deutsche E-Mail-Anbieter, hat die E-Mail-Adresse ([email protected]) gesperrt, die Angreifer verwenden, um mit Opfern zu kommunizieren, um die Entschlüsselungsschlüssel zu erhalten.
Wie schützen Sie sich vor Ransomware-Angriffen?
- Anwenden von Sicherheitsupdates in MS17-010
- Deaktivieren Sie das ungesicherte SMBv1-Dateifreigabeprotokoll auf Ihren Windows-Systemen und -Servern.
- Blockieren Sie eingehende Verbindungen auf T-Port 445
- Erstellen und pflegen Sie gute Backups, damit Sie im Falle einer Infektion Ihre Daten wiederherstellen können.
- Stellen Sie sicher, dass Sie eine gute und effektive Antiviren-Sicherheitssuite auf Ihrem System ausführen.
- Am wichtigsten ist, immer sicher im Internet zu surfen.
