Neues zur Petya Ransomware – Gegenmittel gefunden?

Momentan verbreitet sich ja eine neue Variante der Ransomware Petya (NotPetya, PetyaWrap) in Firmennetzen (siehe Achtung: Petya Ransomware befällt weltweit Systeme). Erste Analysen deuten an, dass die Ransomware auch Zugangsdaten stielt und sich nicht nur über die SMBv1-Lücke verbreitet. Zudem gibt es die Hoffnung, dass ein Killswitch gefunden wurde. Ergänzung: Der Beitrag wurde um weitere Details aktualisiert.


Anzeige

Ergänzung: Talos-Analyse der 'Nyetya' Malware

Die Sicherheitsspezialisten von Talos (Cisco) bezeichnen die neue Ransomware als Nyetya (for Not Petya) und haben hier eine erste Analyse veröffentlicht.

  • Die Vermutung, dass die Malware per E-Mail-Anhang verbreitet wurde, konnte bisher nicht bestätigt werden.
  • Talos vermutet, dass die Infektion über ein kompromittiertes Update-System der ukrainischen Steuersoftware MeDoc (Tax System) erfolgte.

Da der Großteil der Infektionen (60%) in der Ukraine erfolgte, könnte das zutreffen. Kaspersky hat inzwischen dieses Diagramm veröffentlicht.


(Quelle: Kaspersky/BleepingComputer)

In diesem Tweet gibt GossiTheDog an, dass ein vergessenes digitales Zertifikat für das kompromittierte Update-System verantwortlich sein könnte.

Bei Bleeping-Computer geht dieser Artikel auf das Thema ein, wobei die M.E.Doc-Betreiber angeben, Opfer einer Virus-Attacke geworden zu sein, aber später verneinen, dass von dort die Petya (auch als PetyaWrap oder NonPetya bezeichnete) Malware verbreitet wurde.

Ergänzung: Beachtet meinen Nachtrag am Artikelende zu Microsofts Antivirussoftware. Dort ist die Infektion durch den Updater bestätigt.

Verbreitung per PsExec und WMIC

Über den initialen Infektionsvektor ist mir noch nichts bekannt. Vermutlich wird oder wurde die Malware über Spam-Mails oder infizierte Webseiten ausgeliefert. Ist ein Rechner einmal infiziert, wird eine Kopie von PsExec (aus den Sysinternals Tools) wohl in dllhost.dat umbenannt auf dem Rechner im Windows Verzeichnis abgelegt. Dann versucht die Malware über WMIC-Aufrufe und weitere Ansätze eine Verbreitung im Netzwerk.


Anzeige

In obigem Tweet führt Dave Kennedy aus, dass das Patchen der ETHERNALBLUE-Lücke (MS17-010) eine Verbreitung im Netzwerk nicht unterbindet. Ergänzung: Bei Talos finden sich in diesem Blog-Beitrag konkrete Angaben, wie PsExec und WMIC genutzt werden. Der PsExec-Aufruf sieht folgendermaßen aus:

C:\WINDOWS\dllhost.dat \\w.x.y.z -accepteula -s -d C:\Windows\System32\rundll32.exe C:\Windows\perfc.dat,#1

Dort findet sich die Info über die perfc, die nachfolgend als Killswitch referenziert wird. Dann erfolgt ein WMIC-Aufruf mit dem Benutzernamen und dem Anmeldekennwort:

Wbem\wmic.exe /node:"w.x.y.z" /user:"username" /password:"password" "process call create "C:\Windows\System32\rundll32.exe \"C:\Windows\perfc.dat\" #1"

Dies gibt einen Hinweis, dass die Malware an Anmeldedaten herankommt – wie genau, wird von Talos noch untersucht.

Credential Stealer integriert

In diesem Tweet deutet jemand an, dass bei der Verbreitung auch Anmeldedaten im Netzwerk verwendet würden. Das wird in diesem Tweet nochmals angedeutet:

Es werden offenbar im System gespeicherte Anmeldedaten (Credentials) verwendet, um sich gegenüber dem System und dem Netzwerk zu authentifizieren.

In diesem arstechnica-Beitrag werden Sicherheitsforscher zitiert, die eine zweite Funktion des Trojaners gefunden haben wollen. Diese Funktion versucht auf den befallenen Systemen Benutzernamen und Kennwörter zu extrahieren und sendet diese an Server, die unter Kontrolle des Angreifers stehen. Während die infizierte Maschine danach tot ist, haben die Angreifer die Anmeldeinformationen und können ggf. weitere Maschinen über diese Anmeldedaten angreifen. Scheint sich zu einer sehr unerfreulichen Geschichte zu entwickeln.

Killswitch angeblich gefunden?

Auf Twitter gibt Amid Serper in diesem Tweet an, dass er ein Gegenmittel gefunden habe:

Man soll also im Windows-Ordner eine Datei perfc (ohne Erweiterung) anlegen, um die Verbreitung der Ransomware zu stoppen. Dazu kann man eine beliebige Datei – aber mit Inhalt – in den Windows-Ordner kopieren und dieser Datei dann das Attribut Read-only zuweisen. Könnte aber ein Fake sein – obwohl Es gibt hier eine zweite Quelle, die das bestätigt. Offenbar wird die Verschlüsselungsroutine nicht aktiv, was aber kein wirklicher Killswitch ist, da sich die Ransomware weiter verbreitet. Bei MalwareBytes schreibt man, dass dieser Ansatz nur die Verbreitung auf dem eigenen Rechner unterbindet. Ergänzung: Zwischenzeitlich findet sich bei Bleeping Computer diese Anleitung zum Anlegen der Datei (danke an Julia für den Link).

Nachtrag: Microsofts Virensoftware erkennt PetyaWrap

In diesem Blog-Beitrag geht Microsoft auf das Thema ein. Dort schreibt Microsoft, dass man den Schädling analysiert. Gleichzeitig findet sich die Bestätigung, dass die Virensignaturen für die Microsoft Sicherheitsprodukte (z.B. Defender und MSE) aktualisiert wurden (1.247.197.0) und den Schädling erkennen.

Im Blog-Beitrag schreibt Microsoft übrigens, dass man über Telemetriedaten festgestellt habe, dass die ukrainische Steuersoftware M.E.Doc initial für einige Infektionen verantwortlich war. Der Prozess EzVit.exe, zuständig für Updates der Software, war wohl kompromittiert.

Im Microsoft-Beitrag werden die weiter oben und im Artikel Achtung: Petya Ransomware befällt weltweit Systeme erwähnten Mechanismen zur Verbreitung weitgehend bestätigt. Die Malware verwendet existierende Sessions oder gefundene Anmeldedaten zur Verbreitung im Netzwerk, greift auf Netzwerkfreigaben zu und verwendet auch Sicherheitslücken in SMBv1. Microsoft legt weitere Details offen, zeigt wie die Infektion im Windows Defender Advanced Threat Protection behandelt werden kann und gibt Hinweise, wie eine Infektion zu vermeiden wäre. Dort sind zwei Maßnahmen genannt: SMBv1 deaktivieren (was aber viele Funktionalitäten in Firmen lahm legen dürfte) und in den Firewalls den SMB-Datentransfer auf Port 445 unterbinden. Martin hat bei Dr. Windows ein paar deutschsprachige Erläuterungen publiziert.

Ergänzung 2: In diesem Artikel werden weitere Infektionsmethoden genannt. So wird ein kompromittierter Webserver als 'Waterhole' verwendet, um die Ransomware per Exploit auszuliefern.

Ähnliche Artikel:
Achtung: Petya Ransomware befällt weltweit Systeme
Ransomware WannaCry befällt tausende Computer weltweit
Malwarebytes-Analyse: Wie sich WannaCry verbreitete
WannaCrypt: Updates für Windows XP, Server 2003 & Co.
WannaCry: Meist ungepatchte Windows 7 Systeme befallen
WannaCry: Verschlüsselte Daten per Recovery retten?
WannaCry: Analysen, Windows 10-Port, Daten-Recovery …


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

17 Antworten zu Neues zur Petya Ransomware – Gegenmittel gefunden?

  1. Kim O. Fee sagt:

    "Killswitch angeblich gefunden?"

    Amit Serper on Twitter: "98% sure that the name is is perfc.dll"
    Er batcht/klatscht übrigens 3 Dummy-Dateien ins Windows-Verzeichnis: perfc.dat, perfc.dll und perfc – so nach dem Motto "sicher ist "sicher" …

    Mal abwarten, mir kommt das ziemlich schnell geschossen vor. Und eines werde ich nie verstehen: Warum aktualisiert man nicht das Betriebssystem, zieht ein Image und verbrennt – nach Bedarf – den ganzen Scheiß mitsamt MBR und sichert damit gleichzeitig noch seine Daten auf dieser Platte, statt dermaßen ins Blaue zu frickeln … (gut, war rhetorisch gemeint und gilt nur für den Einzelrechner/User und nicht für ein Netzwerk aus Dutzenden Computern)

    • Ralph sagt:

      Das betrifft ja nicht nur Einzelnutzer. Du willst nicht wissen, wie viele meiner Kunden, die über ein Dutzend und mehr Rechner verfügen, schon auf die Nase gefallen sind, ganz ohne Virus. Interessant dabei: nach dem erste Totalausfall einer Platte mit 100% Datenverlust werden dann zwar Backup-Lösungen erarbeitet und implementiert, dann aber nicht genutzt. Von Redundanz (täglich gewechselte Backup-Laufwerke, die nur bei Bedarf aus dem Tresor geholt werden) mal ganz zu schweigen. Der Mensch an sich ist faul. Daher wird Bequemlichkeit immer Sicherheit besiegen.

      • Kim O. Fee sagt:

        Mit "Einzelnutzer" gehe ich von mir aus, dem Einzelnutzer, der seinen Rechner den simplen, logischen Anforderungen nach warten kann, und das auch tut. Wie es in kleineren bis größeren Netzwerken, zumal von Behörden, Betrieben, Firmen usw. mit vielen Rechnern und vermutlich wenig ambitionierten oder gar unfähigen Administratoren zugeht, weiß ich nur zu gut, aber da hat das meistens andere Gründe. Dem besagten Einzelnutzer unterstelle ich – Du sagst es – Faulheit und Schlimmeres. Dieses Jammern, wenn das Kind im Brunnen liegt, obwohl jeder weiß, dass es dazu kommen kann. Ich erwähne hier übrigens öfters das Thema Backup/Images, aber wenn es dann konkret wird, Fehlanzeige. Wie gesagt, es will mir nicht in den Kopf, aber letztlich ist es mir auch egal.

  2. Sam sagt:

    Erscheint eine neue Malware jeglicher Art, stürzen sich sofort alle einschlägigen Portale, Magazine und Blogs auf dieses Thema und veröffentlichen sehr schnell Ratschläge dazu, wie man sich schützen kann.

    Bezeichnenderweise erschein bislang nichts dergleichen über diese nunmehr 6 Tage alte Meldung…

    "Bundestag gibt Staatstrojaner für die alltägliche Strafverfolgung frei".

    https://www.heise.de/newsticker/meldung/Bundestag-gibt-Staatstrojaner-fuer-die-alltaegliche-Strafverfolgung-frei-3753530.html?artikelseite=all

    Das nennt man dann wohl Pressefreiheit;-)

  3. Kim O. Fee sagt:

    Um Stil der BILD zu bleiben:
    Geschäft geplatzt oder steckt etwas anderes dahinter?

    »Der E-Mail-Anbieter Posteo hat eine beim aktuellen Petya-Angriff genutzte Mailadresse gesperrt. Für Opfer gibt es damit wohl vorerst keine Möglichkeit, die Erpresser zu kontaktieren. Ob die nach einer Lösegeldzahlung geholfen hätten, ist sowieso fraglich.« (Link)

    Tatsächlich: seit ungefähr 14Uhr stagniert die Schlussbilanz der Transaktionen bei runden €9.000 – ein geradezu lächerlicher Betrag für die Porto-Kassierer und ein riesen Schaden für die Betroffenen. Wie mittlerweile bekannt, war die Schließung der genutzte Mailadresse provoziert, was interessante Fragen aufwirft: Ein weiterer Testlauf? Eine erzieherische Maßnahme? Eine neue Form der Stadtguerilla?

  4. Axel sagt:

    SMB1 braucht kein Mensch mehr! Ich rate jedem Kunden im Moment das abzuschalten, es ist nicht richtig das dann in Firmen nicht mehr viel geht. Wir haben das öfters schon gemacht und es gab keine Probleme.

    https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/

    • Kim O. Fee sagt:

      Ich wollte kürzlich in W7-SP1
      sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
      und
      sc.exe config mrxsmb10 start= disabled
      ausführen, aber lt. Reg. hatte ich das bereits gemacht (in meinem Log steht 2013). An den Grund kann ich mich nicht mehr erinnern, jedenfalls war das Protokoll immer entbehrlich gewesen.

      • RedOne sagt:

        zu SMB 1.0
        Kim O. Fee könntest Du uns bitte sagen in welchem Ordner oder wo in der Registry man die Einstellungen zu SMB 1.0 findet?
        Vielen Dank.

        • Kim O. Fee sagt:

          In W7/x64/SP1 steht das unter HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters (Registrierungseintrag: SMB1)

          MS-Info siehe hier, unter Abschnitt "Windows 7, Windows Server 2008 R2, Windows Vista und Windows Server 2008 -> Windows PowerShell 2.0 oder eine höhere Version / Registrierungs-Editor"

  5. RedOne sagt:

    Windows Defender – was muss ich tun wenn Windows 7 einsetze?

    Wenn ich ein Fremd-AntiVirus einsetze muss ich grundsätzlich nichts tun ausser Windows 7 aktuell zu halten.

    Ich würde aber empfehlen den Windows Defender selbst jetzt auch zu aktivieren und zu updaten und dann wieder zu deaktivieren weil er fehlerhaft ist und natürlich auch nicht aktuell. Wer den Defender noch nie gebraucht hat, verfügt über die uralte fehlerhafte Version bei Erstinstallation von Windows 7.
    Ist der Defender dagegen aktuell, verfügt man über einen (Gratis-)Notnagel den man einfach aktivieren kann wenn man mal Probleme mit dem Fremd-AntiVirus hat (was ja manchmal vorkommt).

    Mein Eindruck ist dabei das die Windows 7-32bit Version des Windows Defender schneller zur Verfügung gestellt wird als die Windows 7-64bit Version des Windows Defender.
    Jedenfalls schreibt Herr Born in den letzten Wochen von neuen Windows Defender Versionen, wie z.B. heute von 1.247.197.0, die mir jedenfalls noch nicht zur Verfügung gestellt wird (ich stehe noch b ei 1.247.131.0).

    Achtung: der Windows Defender aktualisiert sich nur automatisch wenn sich auch Windows 7 automatisch über Windows Update aktualisiert und auch andere Microsoft-Programme in die Update-Suche eingeschlossen sind.

    Hat man die automatische Windows Update Suche abgestellt, ist auch das automatische Update von Windows Defender abgestellt.

    Zu beachten ist beim Windows Defender wohl auch das die AV-Signaturen nicht täglich aktualisiert werden. Aber man hat ja noch die Windows-Firewall und hoffentlich das NAT im Modem(-Router).

  6. Kim O. Fee sagt:

    Das "Gegenmittel" aka perfc-file-"Impfstoff" wirft allmählich Fragen nach der Wirksamkeit auf (siehe Diskussion), anscheinend inspiriert durch eine aktuelle Analyse des Infektions-Mechanismus:

    »Reports on social media claim there is a kill switch in the malware that can be activated by creating a specific [perfc] file under C:Windows. Although we do see code to check for the existence of the file, we cannot confirm that this filename is fixed.We have observed in our replication that the filename checked at the target machine must be the same filename used in the source machine. Thus it is not possible to predict what this filename must be before the infection occurs, and we cannot confirm that this is a possible kill switch.« (Link)

    Hier musste ich lachen: Bingo!
    Für chip.de ist mal wieder alles sonnenklar ;-)

  7. Kim O. Fee sagt:

    Die nächste – und bisher aufschlussreichste – Analyse – damit ist das Thema "C:Windowsperfc" erledigt, zumindest für meine Wenigkeit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.