Inhalt
- Was ist die NotPetya-Ransomware?
- Vor wem schützen Sie sich?
Was ist die NotPetya-Ransomware?
NotPetya (oder Petwrap) basiert auf einer älteren Version von die Petya-Ransomware, das ursprünglich dazu gedacht war, Dateien und Geräte als Geiseln für Bitcoin-Zahlungen zu halten. Allerdings trotz NotPetyas Versuch, Geld einzusammeln Bei seinem schnell voranschreitenden globalen Angriff scheint es nicht ausschließlich auf Geld auszugehen. Stattdessen verschlüsselt NotPetya die Dateisysteme von Maschinen, um Unternehmen zu schaden. Der Ransomware-Aspekt ist offenbar nur eine Tarnung.
Empfohlene Videos
Was NotPetya gefährlich macht, ist, dass sich hinter der Ransomware-basierten Front ein Exploit namens befindet EternalBlue, angeblich von der US-amerikanischen National Security Administration (auch bekannt als NSA) entworfen. Es zielt auf ein bestimmtes, anfälliges Netzwerkprotokoll namens Server-Nachrichtenblock (Version 1) wird für die gemeinsame Nutzung von Druckern, Dateien und seriellen Anschlüssen zwischen vernetzten Windows-basierten PCs verwendet. Somit ermöglicht die Schwachstelle entfernten Angreifern, bösartigen Code zu senden und auf einem Ziel auszuführen Computer. Die Hackergruppe Shadow Brokers veröffentlichte EternalBlue im April 2017.
Die NotPetya-Ransomware enthält auch eine „Wurm“-Komponente. Typischerweise werden Opfer Opfer von Ransomware, indem sie Malware herunterladen und ausführen, die als legitime Datei getarnt in einer E-Mail angehängt ist. Im Gegenzug verschlüsselt die Malware bestimmte Dateien und zeigt ein Popup-Fenster auf dem Bildschirm an, in dem eine Zahlung in Bitcoins zum Entsperren dieser Dateien verlangt wird.
Die Anfang 2016 aufgetauchte Petya-Ransomware ging diesen Angriff jedoch noch einen Schritt weiter, indem sie die gesamte Festplatte des PCs verschlüsselte Laufwerk oder Solid-State-Laufwerk, indem es den Master-Boot-Datensatz infiziert und so das Programm überschreibt, das den Windows-Start startet Reihenfolge. Dies führte zu einer Verschlüsselung der Tabelle, die zur Nachverfolgung verwendet wurde alle lokale Dateien (NTFS), wodurch Windows daran gehindert wird, lokal gespeicherte Dateien zu finden.
Trotz seiner Fähigkeit, eine ganze Festplatte zu verschlüsseln, war Petya nur in der Lage, einen einzelnen Ziel-PC zu infizieren. Wie jedoch gesehen mit der jüngste WannaCry-Ausbruch, Ransomware kann jetzt ohne Benutzereingriff von PC zu PC in einem lokalen Netzwerk übertragen werden. Die neue NotPetya-Ransomware ist im Gegensatz zur ursprünglichen Petya-Version zum gleichen lateralen Netzwerkbefall fähig.
Laut Microsoft ist einer der Angriffsvektoren von NotPetya die Fähigkeit, Anmeldeinformationen zu stehlen oder eine aktive Sitzung wiederzuverwenden.
„Weil Benutzer sich häufig mit Konten mit lokalen Administratorrechten anmelden und aktive Sitzungen geöffnet haben Bei mehreren Computern ermöglichen gestohlene Zugangsdaten wahrscheinlich die gleiche Zugriffsebene, die der Benutzer auf anderen Computern hat Maschinen“, Das Unternehmen berichtet. „Sobald die Ransomware über gültige Anmeldeinformationen verfügt, scannt sie das lokale Netzwerk, um gültige Verbindungen herzustellen.“
Die NotPetya-Ransomware kann auch Dateifreigaben nutzen, um sich im lokalen Netzwerk zu vermehren und Maschinen zu infizieren, die nicht gegen die EternalBlue-Schwachstelle gepatcht sind. Microsoft erwähnt sogar Ewige Romantik, ein weiterer Exploit gegen das Server Message Block-Protokoll, das angeblich von der NSA heraufbeschworen wurde.
„Dies ist ein großartiges Beispiel dafür, wie zwei Malware-Komponenten zusammenkommen, um noch schädlichere und widerstandsfähigere Malware zu erzeugen“, sagte er Phil Richards, Chief Information Security Officer von Ivanti.
Neben dem schnellen und weit verbreiteten Angriff von NotPetya gibt es noch ein weiteres Problem: die Bezahlung. Die Ransomware stellt ein Popup-Fenster bereit, in dem die Opfer aufgefordert werden, 300 US-Dollar in Bitcoins unter Verwendung einer bestimmten Bitcoin-Adresse, einer Bitcoin-Wallet-ID und einer persönlichen Installationsnummer zu zahlen. Opfer senden diese Informationen an eine angegebene E-Mail-Adresse, die mit einem Entsperrschlüssel antwortet. Diese E-Mail-Adresse wurde schnell gesperrt, als der deutsche Mutter-E-Mail-Anbieter Posteo seine böse Absicht entdeckte.
„Wir sind darauf aufmerksam geworden, dass Ransomware-Erpresser derzeit eine Posteo-Adresse als Kontaktmöglichkeit nutzen. Unser Anti-Missbrauchs-Team hat dies sofort überprüft – und das Konto umgehend gesperrt.“ sagte das Unternehmen. „Wir dulden keinen Missbrauch unserer Plattform: Die sofortige Sperrung missbrauchter E-Mail-Konten ist in solchen Fällen das notwendige Vorgehen der Anbieter.“
Das bedeutet, dass jeder Zahlungsversuch niemals durchkommen würde, selbst wenn die Zahlung das Ziel der Malware wäre.
Schließlich gibt Microsoft an, dass der Angriff von der ukrainischen Firma M.E.Doc ausging, dem Entwickler der Steuerbuchhaltungssoftware MEDoc. Microsoft scheint nicht mit dem Finger darauf zu zeigen, sondern erklärte stattdessen, dass es Beweise dafür habe, dass „ein paar aktive Infektionen der Ransomware begann ursprünglich mit dem legitimen MEDoc-Updater-Prozess.“ Diese Art von Infektion nimmt laut Microsoft zu Trend.
Welche Systeme sind gefährdet?
Derzeit scheint sich die NotPetya-Ransomware auf Angriffe auf Windows-basierte PCs in Unternehmen zu konzentrieren. Beispielsweise befand sich das gesamte Strahlungsüberwachungssystem im Kernkraftwerk Tschernobyl wurde durch den Angriff offline geschaltet. Hier in den Vereinigten Staaten der Angriff traf das gesamte Gesundheitssystem des Heritage ValleyDies betrifft alle Einrichtungen, die auf das Netzwerk angewiesen sind, einschließlich der Krankenhäuser Beaver und Sewickley in Pennsylvania. Der Flughafen Kiew-Boryspil in der Ukraine Flugplan gelitten Es kam zu Verzögerungen und die Website wurde aufgrund des Angriffs offline geschaltet.
Leider gibt es keine Informationen darüber, auf welche genauen Windows-Versionen die NotPetya-Ransomware abzielt. Der Sicherheitsbericht von Microsoft listet keine spezifischen Windows-Versionen auf, obwohl Kunden aus Sicherheitsgründen davon ausgehen sollten dass alle kommerziellen und Mainstream-Versionen von Windows von Windows XP bis Windows 10 unter den Angriff fallen Fenster. Immerhin sogar WannaCry zielte auf Computer ab, auf denen Windows XP installiert war.
Vor wem schützen Sie sich?
Microsoft hat bereits Updates veröffentlicht, die die Exploits EternalBlue und EternalRomance blockieren, die bei diesem neuesten Malware-Ausbruch verwendet werden. Microsoft hat beides am 14. März 2017 mit der Veröffentlichung von behoben Sicherheitsupdate MS17-010. Das war vor mehr als drei Monaten, was bedeutet, dass Unternehmen, die über diesen Exploit von NotPetya angegriffen wurden, noch kein Update erhalten haben ihre PCs. Microsoft empfiehlt Kunden, das Sicherheitsupdate MS17-010 umgehend zu installieren, sofern sie dies noch nicht getan haben bereits.
Die Installation des Sicherheitsupdates ist die effektivste Möglichkeit, Ihren PC zu schützen
Für Organisationen, die das Sicherheitsupdate noch nicht anwenden können, gibt es zwei Methoden, um die Verbreitung der NotPetya-Ransomware zu verhindern: Deaktivieren Sie Server Message Block Version 1 vollständigund/oder Erstellen einer Regel im Router oder in der Firewall, die eingehenden Server Message Block-Verkehr auf Port 445 blockiert.
Da ist noch einer einfache Möglichkeit, Infektionen vorzubeugen. Beginnen Sie mit Öffnen des Datei-Explorers und Laden des Windows-Verzeichnisordners, der normalerweise „C:\Windows“ ist. Dort müssen Sie erstellen eine Datei mit dem Namen „perfc“ (ja ohne Erweiterung) und setzen Sie ihre Berechtigungen auf „Schreibgeschützt“ (über Allgemein/Attribute).
Natürlich gibt es keine wirkliche Option zum Erstellen einer neuen Datei im Windows-Verzeichnis, sondern nur die Option „Neuer Ordner“. Der beste Weg, diese Datei zu erstellen, besteht darin, Notepad zu öffnen und eine leere „perfc.txt“-Datei im Windows-Ordner zu speichern. Danach löschen Sie einfach die Erweiterung „.txt“ im Namen, akzeptieren die Popup-Warnung von Windows und klicken mit der rechten Maustaste auf die Datei, um ihre Berechtigungen auf „Schreibgeschützt“ zu ändern.
Wenn NotPetya einen PC infiziert, durchsucht es daher den Windows-Ordner nach dieser bestimmten Datei, bei der es sich tatsächlich um einen seiner eigenen Dateinamen handelt. Wenn die perfc-Datei bereits vorhanden ist, geht NotPetya davon aus, dass das System bereits infiziert ist und in den Ruhezustand wechselt. Da dieses Geheimnis jedoch nun öffentlich ist, könnten Hacker zum Zeichenbrett zurückkehren und die NotPetya-Ransomware so überarbeiten, dass sie auf einer anderen Datei basiert.
Empfehlungen der Redaktion
- Mit diesem Spiel können Hacker Ihren PC angreifen, und Sie müssen es nicht einmal spielen
- Seien Sie mit diesen Slack-Tipps und Tricks am produktivsten
