Petya (NotPetya) – WannaCry Déjà Vu

Der Sicherheitsforscher Amit Serper hat einen Weg gefunden, um weitere Infektion mit Petya (NotPetya / SortaPetya / Petna) zu verhindern.
Der Sicherheitsforscher Amit Serper hat einen Weg gefunden, um weitere Infektion mit Petya (NotPetya / SortaPetya / Petna) zu verhindern.

Die Ransomware hat die vergangenen 24 - 48 Stunden auf der ganzen Welt Chaos verursacht indem Sie Daten verschlüsselt und dazu die Lücke namens „Eternal Blue“ ausnutzt. Sofern sich die Opfer nicht entscheiden Lösegeld zu zahlen (was jetzt sinnlos ist und nicht empfohlen wird), gibt es keine Möglichkeit ihre Systeme wiederherzustellen.

 

Anfänglich glaubten die Forscher, dass diese neue Ransomware eine neue Version einer älteren Bedrohung namens Petya war, mittlerweile ist klar, dass dies ein neuer Virus ist, welcher Teile des Codes von Petya enthält. Daher nennt man ihnen nun NotPetya, Petna, oder auch SortaPetya.

Keine Ausschalter – no Killswitch

Auf Grund der globalen Reichweite der Ransomware arbeiten viele Forscher aus unterschiedlichen Ländern an einer Sofortmaßnahme. Es werden Daten analysiert in der Hoffnung, ein Schlupfloch in seiner Verschlüsselung oder eine Killswitch-Domäne zu finden, die eine weitere Verbreitung stoppen würde, ähnlich wie bei WannaCry.

 

Bei der Analyse der Arbeitsroutine der Ransomware war Serper der erste, der entdeckte, dass NotPetya nach einer lokalen Datei sucht und seine Verschlüsselungsroutine beenden würde, wenn diese Datei bereits auf der Festplatte existiert. Die ersten Ergebnisse des Forschers wurden später von anderen Sicherheitsforschern wie PT Security, TrustedSec und Emsisoft bestätigt.

 

Dies bedeutet, Opfer können diese Datei auf Ihrem PC erstellen, auf schreibgeschützt setzen und damit die Ausführung der NotPetya Ransomware blockieren.

 

Während diese Datei verhindert, dass die Ransomware überhaupt läuft, wirkt sie ehr wie eine Impfung als wie ein Ausschalter. Dies liegt daran, dass jeder Computerbenutzer diese Datei selbstständig anlegen muss, im Gegensatz zu einem "Schalter", den man betätigen könnte, um weltweit alle Ransomware-Infektionen zu verhindern.

Verbreitung nur über LAN

Die Forscher von Cisco und Kaspersky haben weitere Details zu Ransomware NotPetya aufgedeckt. Laut Forscher wurden die zuerst betroffenen Systeme über die geschlossene Software M.E.Doc und ein dafür benötigtes Update infiziert. Die Software ist Voraussetzung für eine Zusammenarbeit mit der Regierung der Ukraine, beispielsweise um dort Steuern zu bezahlen.

 

Die Ransomware verwendet Tools, um Anmeldeinformationen für das lokale Netzwerk zu sammeln, die es dann an Werkzeuge wie PsExec und WMIC weitergibt. Diese Werkzeuge verwenden diese Passwörter, um auf neue Computer im gleichen Netzwerk zu kommen.  Darüber hinaus nutzt die NotPetya Ransomware auch zwei NSA-Exploits, die von den Shadow Brokers im April 2017 aufgedeckt wurden. Diese sind ETERNALBLUE (auch von WannaCry verwendet) und ETERNALROMANCE.

 

NotPetya nutzt diese beiden Exploits, um sich über das lokale Netzwerk auf weiter Computer zu verbreiten. Im Gegensatz zu WannaCry wird NotPetya nur über das lokale Netzwerk und nicht über das Internet verbreiten.

 

Laut MalwareTech, welche den WannaCry Ausschalter entdeckten, ist NotPetya nicht so gefährlich wie WannaCry.

 

"Der aktuelle NotPetya-Angriff ist in dem Sinne anders, da die Verbreitung nur über das lokale Netzwerk, nicht über das Internet stattfindet", sagt er. "Auf Grund der Tatsache, dass es sich dabei um Netzwerke von begrenzter Größe handelt und ziemlich schnell zu scannen sind, kann die Malware sich nicht weiterverbreiten, sobald der Scan des lokalen Netzwerks beendet wurde. Daher ist Petya nicht so ansteckend wie WannaCry, was sich immer noch weiter verbreitet."

 

Darüber hinaus ist nach Einschätzung des Experten die NotPetya-Verteilung gestoppt.

 

"Der wichtigste Unterschied zwischen WannaCry und NotPetya ist, dass WannaCry wahrscheinlich auf eine kleine Anzahl von Computern eingesetzt wurde und sich dann rasch ausbreitet, während NotPetya auf einer großen Anzahl von Computern eingesetzt und über das lokale Netzwerk verbreitet wurde. Daher ist das Risiko für neue Infektionen mehr als 1 Stunde nach dem Angriff ehr gering" sagt MalwareTech. "Die Malware schaltet den Computer ab, um ihn 1 Stunde nach der Ausführung zu verschlüsseln, wo er bereits seinen lokalen Netzwerkscan abgeschlossen hat."

 

NotPetya Impfung ist da

Wie MalwareTech erklärte, wird nach einer Stunde durch die Ransomware der PC des Benutzers neu gestartet, wodurch der Verschlüsselungsprozess startet. Dieser Prozess ist als CHKDSK-Betrieb verkleidet.

 

Benutzer können diesen Bildschirm als Anhaltspunkt verwenden, um ihre PCs auszuschalten, was die Ransomware von der Verschlüsselung ihrer Dateien abhält. Der Verschlüsselungsprozess verwendet ein Dual-AES-128 und RSA-2048 Standard-Verschlüsselungsmodell, das von den meisten erstklassigen Ransomware-Familien verwendet wird, was bedeutet, dass es wenig Hoffnung gibt, einen Decrypter zu sehen.

 

Glücklicherweise hat Sicherheitsforscher Amit Serper einen Weg gefunden, um Petya / NotPetya gleich vor Beginn zu stoppen: https://twitter.com/0xAmit/status/879764678871851008

Des Weiteren wurde bereits das Mail-Konto für das Lösegeld bei Posteo gesperrt. Posteo teilte derweil mit, dass das Unternehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in Verbindung stehe. Die Kontensperrung sei vor Beginn der Angriffswelle veranlasst worden.

 

Kommentar schreiben

Kommentare: 0