Petya Ransomware-Angriff: wie und wer ist infiziert; wie man es aufhält

Ein neuer Ransomware-Angriff, der eine modifizierte Version der EternalBlue-Sicherheitslücke verwendet, die bei den WannaCry-Angriffen ausgenutzt wurde, ist am Dienstag aufgetreten und hat bereits mehr als 2000 PCs weltweit in Spanien, Frankreich, der Ukraine, Russland und anderen Ländern getroffen.

Der Angriff richtete sich in erster Linie gegen Unternehmen in diesen Ländern, während ein Krankenhaus in Pittsburg, USA, ebenfalls getroffen wurde. Zu den Opfern des Angriffs zählen unter anderem die Zentralbank, die Eisenbahn, Ukrtelecom (Ukraine), Rosnett (Russland), WPP (Großbritannien) und DLA Piper (USA).

Die meisten Infektionen wurden in der Ukraine festgestellt, die zweithöchsten in Russland, gefolgt von Polen, Italien und Deutschland. Das Bitcoin-Konto, auf dem Zahlungen akzeptiert wurden, hat mehr als 24 Transaktionen abgeschlossen, bevor es geschlossen wurde.

Lesen Sie auch: Petya Ransomware-Hacker verlieren den Zugriff auf E-Mail-Konten; Opfer sind gestrandet.

Obwohl der Angriff nicht auf Unternehmen in Indien gerichtet ist, zielte er auf den Schifffahrtsgiganten AP Moller-Maersk ab, und der Hafen von Jawaharlal Nehru ist bedroht, da das Unternehmen die Gateway-Terminals im Hafen betreibt.

Wie verbreitet sich die Petya Ransomware?

Die Ransomware verwendet einen ähnlichen Exploit wie die großen WannaCry-Ransomware-Angriffe Anfang dieses Monats, bei denen Computer mit veralteten Windows-Versionen mit geringfügigen Änderungen betroffen waren.

Die Sicherheitsanfälligkeit kann über eine Remotecodeausführung auf PCs unter Windows XP bis Windows 2008 ausgenutzt werden.

Die Ransomware infiziert den PC und startet ihn mithilfe von Systemprogrammen neu. Beim Neustart wird die MFT-Tabelle in NTFS-Partitionen verschlüsselt und der MBR mit einem benutzerdefinierten Ladeprogramm überschrieben, das den Lösegeldschein anzeigt.

Kaspersky Labs zufolge „verwendet die Ransomware benutzerdefinierte Tools, um Anmeldeinformationen für die Verbreitung zu erfassen. Diese extrahieren Anmeldeinformationen aus dem Prozess lsass.exe. Nach dem Extrahieren werden die Anmeldeinformationen an PsExec-Tools oder WMIC zur Verteilung innerhalb eines Netzwerks übergeben. “

Was passiert nach einer PC-Infektion?

Nachdem Petja einen PC infiziert hat, verliert der Benutzer den Zugriff auf das Gerät, auf dem ein schwarzer Bildschirm mit rotem Text wie folgt angezeigt wird:

„Wenn Sie diesen Text sehen, können Sie nicht mehr auf Ihre Dateien zugreifen, da sie verschlüsselt wurden. Vielleicht suchen Sie nach einer Möglichkeit, Ihre Dateien wiederherzustellen, aber verschwenden Sie nicht unsere Zeit. Ohne unseren Entschlüsselungsservice kann niemand Ihre Dateien wiederherstellen. “

Außerdem gibt es Anweisungen zur Zahlung von 300 US-Dollar in Bitcoins und eine Möglichkeit, den Entschlüsselungsschlüssel einzugeben und die Dateien abzurufen.

Wie bleiben Sie sicher?

Derzeit gibt es keine konkrete Möglichkeit, die von der Petya-Ransomware als Geiseln gehaltenen Dateien zu entschlüsseln, da ein fester Verschlüsselungsschlüssel verwendet wird.

Die Sicherheitswebsite Bleeping Computer ist jedoch der Ansicht, dass das Erstellen einer schreibgeschützten Datei mit dem Namen "perfc" und das Platzieren in dem Windows-Ordner auf Laufwerk C helfen kann, den Angriff zu stoppen.

Es ist auch wichtig, dass Benutzer, die dies noch nicht getan haben, den Microsoft-Patch für ältere Windows-Betriebssysteme, mit dem die von EternalBlue ausgenutzte Sicherheitsanfälligkeit behoben wird, sofort herunterladen und installieren. Dies schützt sie vor Angriffen durch eine ähnliche Malware wie Petya.

Wenn der Computer neu startet und Sie diese Meldung sehen, schalten Sie ihn sofort aus! Dies ist der Verschlüsselungsprozess. Wenn Sie das Gerät nicht einschalten, sind die Dateien in Ordnung. pic.twitter.com/IqwzWdlrX6

- Hacker Fantastic (@hackerfantastic) 27. Juni 2017

Obwohl die Anzahl und das Ausmaß von Ransomware-Angriffen mit jedem Tag zunimmt, wird vermutet, dass das Risiko neuer Infektionen nach den ersten Stunden des Angriffs erheblich abnimmt.

Lesen Sie auch: Ransomware-Angriffe auf dem Vormarsch: Hier erfahren Sie, wie Sie auf Nummer sicher gehen.

Und im Fall von Petja sagen Analysten voraus, dass sich der Code nicht über das Netzwerk hinaus ausbreiten wird. Bisher konnte niemand ausmachen, wer für diesen Angriff verantwortlich ist.

Sicherheitsforscher haben immer noch keine Möglichkeit gefunden, mit der Petya-Ransomware infizierte Systeme zu entschlüsseln, und da jetzt auch die Hacker nicht kontaktiert werden können, bleiben dies vorerst alle Betroffenen.