Achtung: Petya Ransomware befällt weltweit Systeme

Der Verschlüsselungstrojaner Petya wird wohl in einer neuen Kampagne verteilt und befällt weltweit Systeme von Firmen und Behörden. Man spricht von WannaCry-Ausmaßen.


Anzeige

Neue PetyaWrap-Variante zielt auf SMBv1

Erste Berichte kommen aus Russland – die Nachrichtenagentur TASS hat hier einen englischsprachigen Bericht. Demnach sind Systeme von Firmen in Russland und in der Ukraine unter den angegriffenen Zielen. In diesem Tweet findet sich der gleiche Hinweis.

Bei The Hacker News gibt man an, dass weltweites Chaos herrsche und Systeme von Firmen, Banken, und Energieversorgern in Russland, der Ukraine, in Spanien, Frankreich, Großbritannien (Werbefirma WPP), Indien und in weiteren europäischen Ländern befallen seien. Einem NDR-Bericht nach, ist die Beiersdorf AG (Nivea) in der Firmenzentrale von der Ransomware betroffen.

Update: Laut diesem Bericht weiten sich die Infektionen aus. Die Zentralbank der Ukraine, deren Telekom, der Flughafen in Kiew, Metros, das Atomkraftwerk in Tschernobyl, die russische Firma Rosneft, das russische Transportunternehmen Damco und das dänische Schifffahrtsunternehmen Maersk sind betroffen. Weiterhin fallen Geldautomaten (ATM) (siehe) und Kassensysteme (PoS) wohl aus. In den USA sind wohl Merk (Pharma) und die Anwaltsfirma DLA Piper betroffen. Weiterhin sind Mars (Süßigkeiten) und der französische Einzelhändler Auchan unter den bisher rund 80 betroffenen Firmen (siehe).

Bitdefender hat diesen Tweet sowie einen fortlaufend aktualisierten Blog-Beitrag zum Thema veröffentlicht. Auch von Eset liegt mir eine Stellungnahme vor.

Zur Verbreitung scheint sie eine Kombination aus einem SMB Exploit (EternalBlue), wie er auch bei WannaCry zum Einsatz kam, zu verwenden. So verschafft sie sich Zugriff auf das Netzwerk, wo sie sich durch PsExec weiter verbreitet. Diese gefährliche Kombination ist wahrscheinlich der Grund für die schnelle und globale Ausbreitung – obwohl das mediale Interesse nach vorherigen Ausbrüchen hoch war und die meisten Sicherheitslücken hoffentlich beseitigt wurden. Nur ein einziger ungesicherter Computer reicht aus, damit sich die Ransomware Zutritt zum Netzwerk verschaffen kann. Die Malware kann sich dann Administratoren-Rechte erteilen und andere Computer befallen.

Ursprung der Ausbreitung scheint die Ukraine zu sein. Ersten Berichten nach sind Unternehmen aus dem Finanz- und Energiewesen sowie zahlreiche andere Industrien betroffen. Die Auswirkungen des Schadens für den Energiebereich sind noch nicht abzusehen, bisher gibt es keine Berichte über Stromausfälle.

Das Team von Eset führt in diesem Blog-Beitrag die Informationen zusammen und aktualisiert diese.

Laut diversen Quellen nutzt die neue Petya Ransomware-Variante, die den Namen Petwrap erhalten hat, die von WannaCry bekannten ETERNALBLUE-Mechanismen zur Ausbreitung. Über ungepatchte Windows SMBv1-Sicherheitslücken kann die Ransomware sich in Unternehmensnetzwerken ausbreiten. Es gibt aber wohl weitere Angriffsvektoren (siehe unten)

Heute morgen hatte ich im Blog-Beitrag Sicherheitsinfos: WannaCry, Locky, Hacks und mehr darauf hingewiesen, dass einen Monat nach WannaCry neue Infektionen (z.B. bei Honda in der Produktion) auftraten. Es gibt also offenbar eine Menge ungepatchte Systeme mit SMBv1-Sicherheitslücken. Die Suchmaschine Shodan wirft fast 2 Millionen Systeme aus (siehe folgende Karte – via Twitter).


Anzeige

So arbeitet PetyaWrap

Über die Petya-Ransomware hatte ich mehrfach berichtet (z.B. Ransomware-Alarm: Petya kommt mit Mischa im Beipack). Bei einem befallenen Computer werden keine Dateien verschlüsselt. Vielmehr bootet der Schädling das System neu und verschlüsselt die Master File Table (MFT) der Festplatte. Damit kann nicht mehr auf das Laufwerk bzw. dessen Informationen zugegriffen werden. Anschließend wird eine entsprechende Meldung für den Benutzer angezeigt, wie man in diesem Tweet sehen kann.

Auch dieser Tweet von Avira bestätigt den Angriff von PetyaWrap unter Verwendung von ETERNALBLUE:

Laut Avira sind deren Kunden geschützt. Erscheint der Text:

"If you see this text, then your files are no longer accessible, because they are encrypted. Perhaps you are busy looking for a way to recover your files, but don't waste your time. Nobody can recover your files without our decryption service."

Die Ransomware fordert dann den Gegenwert von 300 US $ in Bitcoins. Aktuell erkennen, laut Virus Total nur 16 31 von 61 Antivirusprodukten (Tendenz schnell steigend) diesen Schädling.

Update: Diesem Tweet zufolge, verwendet PetyaWrap nach einer Infektion psexec, um sich mit den Sicherheitscredentials der Benutzer im Netzwerk anzumelden.

Zudem habe ich gesehen, dass auch WMIC zur Verbreitung verwendet wird. Weiteren Tweets von Dave Kennedy nach zu urteilen, verwendet PetyaWrap weitere Angriffsmethoden, so dass das Patchen von ms17-010 wohl nicht ausreicht. Er schlägt vor, administrative Freigaben per Gruppenrichtlinien zu deaktivieren.

Was kann man tun?

Erste Maßnahme wäre (neben den Hinweisen im vorherigen Absatz), die ungepatchten Systeme vom Netz zu trennen und dann zeitnah die betreffenden Updates einzuspielen. Das BSI hat hier die Infos zu den Patches verlinkt.  Zudem sollte geprüft werden, ob die in der Organisation verwendete Sicherheitssoftware den Schädling erkennt.

Weiterhin sollten Unternehmen und Behörden eine Warnung an Mitarbeiter herausgeben, da die Primärinfektion vermutlich per Mail-Anhang erfolgt. Sowohl bei The Hacker News (Englisch) als auch bei heise.de gibt es Artikel.

Übrigens: Der Anbieter Posteo hat die E-Mail-Adressen der Petya-Angreifer laut dieser Mitteilung und diesem heise.de-Artikel gesperrt. Damit entfällt wohl die Möglichkeit, die Erpresser zu kontaktieren.

Killswitch gefunden?

Es geht der Hinweis um, dass man durch anlegen einer Datei die Infektion eines Rechners verhindern könne. Weitere Details finden sich im Beitrag Neues zur Petya Ransomware – Killswitch gefunden?

AV-Produkte, die den Schädling erkennen

Ad-Aware Trojan.Ransom.GoldenEye.B

Avira (no cloud) TR/Rogue.airfqba

BitDefender  Trojan.Ransom.GoldenEye.B

CrowdStrike Falcon (ML)  malicious_confidence_100% (W)

Cyren W32/Petya.VUNZ-1981

DrWeb  Trojan.Encoder.12544

Emsisoft  Trojan-Ransom.GoldenEye (A)

Endgame malicious (high confidence)

ESET-NOD32 Win32/Diskcoder.C

F-Prot W32/Petya.Ransom.J

Fortinet W32/Ransom.EOB!tr

GData Trojan.Ransom.GoldenEye.B

Ikarus Trojan-Ransom.Petrwrap

K7AntiVirus Trojan ( 0001140e1 )

K7GW Trojan ( 0001140e1 )

Kaspersky UDS:DangerousObject.Multi.Generic

Malwarebytes Ransom.Petya

McAfee Ransomware-GCC!71B6A493388E

McAfee-GW-Edition Artemis!Trojan

eScan Trojan.Ransom.GoldenEye.B

Palo Alto Networks (Known Signatures) generic.ml

Panda Trj/CryptoPetya.B

Qihoo-360 Trojan.Generic

Sophos Troj/Ransom-EOB

Symantec ML.Attribute.HighConfidence

Tencent Win32.Trojan.Ransomware.Skuo

TrendMicro Ransom_PETYA.TH627

TrendMicro-HouseCall Ransom_PETYA.TH627

VBA32 TrojanRansom.Filecoder

Webroot W32.Ransomware.Petrwrap

ZoneAlarm by Check Point UDS:DangerousObject.Multi.Generic

Ähnliche Artikel:
Ransomware WannaCry befällt tausende Computer weltweit
Malwarebytes-Analyse: Wie sich WannaCry verbreitete
WannaCrypt: Updates für Windows XP, Server 2003 & Co.
WannaCry: Meist ungepatchte Windows 7 Systeme befallen
WannaCry: Verschlüsselte Daten per Recovery retten?
WannaCry: Analysen, Windows 10-Port, Daten-Recovery …
Neues zur Petya Ransomware – Killswitch gefunden?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Achtung: Petya Ransomware befällt weltweit Systeme

  1. Ralf sagt:

    Unternehmen, wie Honda, verwenden doch die Windows Enterprise Version. Damit steht doch AppLocker, seit Windows 7, zur Verfügung. Über die Gruppenrichtlinien kann das System so konfiguriert werden, dass nur noch erlaubte Software ausgeführt wird. Microsoft ist nicht ganz unschuldig, aber die Hauptschuld tragen diejenigen, die entsprechende Schutzmechanismen nicht einsetzen.

    Hier beweist sich wider einmal, dass Antiviren-Software weniger schützt als AppLocker oder Software Restriction Policies (SRP), die in jeder Windows Pro Version enthalten ist.

  2. Kim O. Fee sagt:

    In den USA wird gerade zu Mittag gegessen – das Thema Petya alias Goldeneye ist dort auch in aller Munde (Guten Appetit!)
    Eben schrieb der Mod bei den Malwarebyterianern:
    »We are detecting this new Petya variant.«

    • Kim O. Fee sagt:

      PS: »This ransomware is detected by our Anti-Ransomware product and the real-time protection components in MB3. If you're running those, you should be safe. However, this is a good reminder that you should run windows update, because the patch for this vulnerability was already released by Microsoft.« (Link)

      "… da der Patch für diese Sicherheitsanfälligkeit bereits von Microsoft freigegeben wurde." – weiß jemand gerade, was der Mann damit sagen will?

  3. Kim O. Fee sagt:

    Diesmal scheint es keinen "Kill Switch" mehr zu geben …
    Der Artikel erklärt auch, was mit dem MS-Patch – vom März: die gepatchte EternalBlue-Schwachstelle – gemeint ist (s.o.)

    (Sorry Günter, Du warst etwas schneller – habe es auch gerade gelesen …)

  4. Markus sagt:

    Günter schrieb in der Vergangenheit das der Microsoft Defender seit Windows 8 ein vollwertiger Virenschutz sei. Andere Antivirensoftware sei nicht nötig.
    https://www.borncity.com/blog/2015/09/05/windows-10-welche-antivirus-lsung-soll-ich-einsetzen/

    Microsoft befindet sich nicht unter den Virenscannern, die Petya erkennen und davor schützen.

    • Günter Born sagt:

      Bitte vergiss nicht, dass die Liste der Virenscanner, die ich im Artikel angegeben habe, eine Momentaufnahme ist. Microsoft untersucht seit dem ersten Auftreten die Malware und hat (ich vermute es mal stark) die Signaturen für den Defender angepasst – der taucht m.w. nicht bei Virus Total auf. Ich habe daher den Defender, MSE, Forefront und Endpoint Security nicht in obige Liste aufgenommen, da es mir gestern Nacht nicht gelungen ist, zu verifizieren, dass die aktuellen Signaturen den Schädling erkennen.

      Nachtrag: Microsoft hat hier eine Menge zusammen getragen. Dort findet sich die Bestätigung, dass die Virensignaturen, die von der MsMpEng in diversen Sicherheitsprodukten (u.a. Defender) genutzt wurden, aktualisiert sind und die Ransomware erkennen.

      • Kim O. Fee sagt:

        Günter, Du weißt doch Bescheid – mal interessehalber gefragt: Wie infiziert eigentlich diese Ransomware einen PC? Wie käme eine eine Datei namens "perfc" (perfc.dat, perfc.dll) ins Windows-Verzeichnis, wenn man es – nach neuesten Erkenntnissen – nicht prophylaktisch selber täte? Und was passiert bei einer Online-Erkennung per AV – wird da ein Download blockiert, Ports gesperrt oder was geht da vor?

        (übrigens Respekt, was Du da in kurzer Zeit alles zusammengetragen hast – die imo am besten informierte Seite!)

        • Günter Born sagt:

          Was ich momentan weiß (ist nicht alles aktuell, da ich gelegentlich auch Brötchen verdienen – aka ein Android-Buch überarbeiten – muss): Die initiale Infektion scheint über eine kompromittierte Update-Funktion in einer ukrainischen Buchhaltungssoftware passiert zu sein (ist aber initial nicht bestätigt). Das erklärt die hohen Infektionsraten in der Ukraine und in Russland.

          Weiterhin wird der ETERNALBLUE-Exploit verwendet, um ungepatchte Systeme (ich vermute per Internet) zu infizieren. Ein ungepatchter Rechner in einem Netzwerk, der per Internet erreichbar ist, reicht wohl aus, um den Schädling im Netzwerk zu verteilen. Wie der ETERNALBLUE-Angriff genau abläuft, liegt aktuell noch im Dunkeln.

          AV-Software müsste den initialen Angriff erkennen und abwehren. Da wären die Seiten der Sicherheits-Experten die bessere Anlaufstelle.

          Nachtrag: Microsoft hat hier eine Menge zusammen getragen. U.a. auch Hinweise zur Infektion.

          • Kim O. Fee sagt:

            Danke für den Nachtrag, interessant …

            "Wie der ETERNALBLUE-Angriff genau abläuft, liegt aktuell noch im Dunkeln."

            Scheint sich zu lichten (s.o.)

            Leider komme ich anscheinend nie in den Genuss dieser fein programmierten Software für Mega-Doofies, dabei hätte ich sie liebend gern mal richtig schön filetiert und gebraten … ;-)

            PS, umgerechnet knapp 10k$ sind den Kapuzen-Heinis mit ihrem NSA-Exploid bis dato gutgeschrieben worden, viel zu viel oder noch erheblich zu wenig, je nach Sichtweise …

Schreibe einen Kommentar zu Kim O. Fee Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.