- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Wie eine Petya-Infektion abläuft


Petya: Nach einer Infektion kann das Opfer das System nicht mehr nutzen
Während der Nutzer auf den Neustart wartet, durchsucht Petya das Netzwerk nach potentiell zu infizierenden Systemen

- Anzeigen -





Die besonders bösartige Ransomware-Familie Petya hat einige Ähnlichkeit mit der WannaCry-Ransomware Anfang Mai, doch wurde die Kampagne deutlich professioneller durchgeführt. Die Auswirkungen für Firmen waren deutlich schlimmer. Die Malware aus der Petya-Familie handelt. verhält sich laut Angaben von F-Secure wie ein Netzwerk-Wurm, der sich über die gleiche SMB-Schwachstelle wie WannaCry verbreitet. Dabei setzt die Ransomware auf das ExternalBlue Exploit, das von der NSA entwickelt und im Internet veröffentlicht wurde.

Jarkko aus den F-Secure Labs beschreibt Petya in einem Blogpost von 2016 als eine Ransomware mit einem bösartigen Twist. Sie verschlüsselt nicht nur einzelne Dateien, sondern die komplette Festplatte. Bis die Infektion entfernt wurde, ist das System kaum nutzbar.

Die meisten Crypo-Ransomware-Familien zielen auf einzelne Dateien und verschlüsseln diese auf der Festplatte. Dadurch haben Opfer zwar keinen Zugriff auf die Informationen, können aber das System noch nutzen. Petya treibt es weiter, nach einer Infektion kann das Opfer das System nicht mehr nutzen.

Auf der technischen Seite geschieht folgendes:
>> Eine bösartige Datei wird ausgeführt;
>> Eine neue Aufgabe wird angelegt, die die infizierte Maschine in einer Stunde neu startet;
>> Während der Nutzer auf den Neustart wartet, durchsucht Petya das Netzwerk nach potentiell zu infizierenden Systemen;
>> Nachdem passende IP-Adressen gesammelt wurden, nutzt Petya die SMB-Schwachstelle und kopiert sich selbst auf die Zielmaschine;
>> Nach dem Neustart beginnt die Verschlüsslung während des Boot-Vorgangs, danach wird die Erpressungsnachricht gezeigt.

Der Ausbruch traf Firmen und Organisationen überall auf der Welt. Zu den betroffenen Ländern gehören Deutschland, Frankreich, Indien, Spanien, Großbritannien und andere. Und ähnlich wie bei WannaCry sind auch Systeme betroffen, die man nicht erwarte – etwa ein Geldautomat in der Ukrain
Und obwohl bei der WannaCry-Attacke ein cleverer Sicherheitsexperte einen Fehler fand und den Angriff stoppen konnte, sieht F-Secure Security Advisor Sean Sullivan keine solche Lösung für die aktuelle Petya-Attacke.

"Die WannaCry-Angreifer scheiterten, weil sie auf ihren Erfolg nicht vorbereitet waren. Allerdings fühlt sich diese Petya-Kampagne anders an. Sie ist erst in der ersten Runde, wirkt deutlich professioneller und die Hintermänner sind bereit, abzukassieren", so Sean. "Mit dieser Attacke ist die Zeit für Anfänger definitiv vorbei."

Da der Angriff ähnlich abläuft wie bei WannaCry, sind auch die Gegenmaßnahmen ähnlich:
Aktualisieren Sie Windows. Blocken Sie in ihrer Firewall den Port 445 für eingehende Verbindungen und nutzen Sie Schutzprogramme auf den jeweiligen Systemen.
(F-Secure: ra)

eingetragen: 10.07.17
Home & Newsletterlauf: 31.07.17


F-Secure: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Als Flash-Player-App getarnt

    Die Experten von Kaspersky Lab haben eine neue Variante des mobilen Banking-Trojaners Svpeng entdeckt. Mittels Keylogger-Funktion greift der modifizierte Trojaner eingegebenen Text wie Banking-Zugangsdaten ab, indem die Zugangsdienste von Android missbraucht werden. Dadurch erlangt der Trojaner weitere Rechte und kann so die eigene Deinstallation verhindern. Selbst Geräte mit aktuellster Software schützen nicht vor dem Schädling. Zugangsdienste (Accessibility Services) sind Erweiterungen der Benutzeroberfläche, um Nutzer, die nicht mit dem Gerät interagieren können, zu unterstützen. Die im Juli 2017 von Kaspersky Lab entdeckte modifizierte Version von Svpeng ist in der Lage, diese Systemfunktion zu missbrauchen, um in andere Apps eingegebenen Text abzugreifen und sich selbst weitere Rechte zu verschaffen.

  • Geschäftsmodell Ransomware-as-a-Service

    Auf der Black Hat 2017 in Las Vegas hat Sophos gestern einen Report zum Thema "Ransomware-as-a-Service (RaaS): eine Analyse von Philadelphia" veröffentlicht. Autorin ist Dorka Palotay, eine Entwicklern zur Gefahrenanalyse in den SophosLabs in Budapest, Ungarn. Der Report beschäftigt sich eingehend mit den inneren Mechanismen eines Ransomware-Bausystems, das jeder für 400 US-Dollar kaufen kann. Einmal erworben, können die Kriminellen Computer kidnappen und Daten gegen Lösegeld zurückhalten.

  • Infektion über Filesharing-Seiten

    Mehr als eine halbe Million Nutzer sind von einer Malware-Kampagne betroffen, die infizierte Systeme zu einem Botnet hinzufügt. Die Malware ist komplex und extrem anpassungsfähig. So schaffte es "Stantinko", über fünf Jahre lang unentdeckt zu agieren und ein Botnet von mehr als 500.000 infizierten Systemen zu bilden. Das ist das Ergebnis einer umfassenden Untersuchung der europäischen Security-Software-Herstellerin Eset. Die meisten Betroffenen entdeckte Eset in Russland und in der Ukraine. Stantinko infiziert Systeme über Filesharing-Webseiten und lockt Nutzer mit kostenloser Software. Die Entwickler haben die Malware clever getarnt: Der Infektionsvektor installiert eine Reihe auffälliger Anwendungen, gleichzeitig wird das Schadprogramm unauffällig im Hintergrund installiert. Stantinko ist so komplex aufgebaut, dass die Malware nur schwer entdeckt werden kann.

  • Unfertige Spyware Rurktar aufgetaucht

    In den G Data Security Labs ist eine Spyware aufgetaucht, die ihren Ursprung scheinbar in Russland hat. Das lässt sich durch die internen Fehlermeldungen der Software zurückverfolgen. Ob hinter der Programmierung der Schadsoftware ganze Entwicklerteams oder eine einzelne Person stecken, ist indes noch unklar.

  • Mac-Version der Windows-Malware WERDLOD

    Forscher von Trend Micro haben die vor kurzem entdeckte Malware OSX_DOK eingehend analysiert. Dabei zeigte sich, dass der Trojaner ausschließlich Daten von Schweizer Nutzern abfängt, die er an ihrer IP-Adresse erkennt. OSX_DOK stellt die Mac-Version der Windows-Malware WERDLOD dar, die bereits 2014 in dem als "Operation Emmental" bekannten Angriff auf Schweizer Bankkunden verwendet wurde.