• IT-Karriere:
  • Services:

Petya: Die Ransomware ist ein Zerstörungstrojaner

Unternehmen, die Opfer der aktuellen Malware-Kampagne geworden sind, haben wohl wenig Aussicht, ihre Dateien wiederherstellen zu können. Verschiedene Sicherheitsfirmen gehen davon aus, dass es sich nicht um eine Ransomware handelt, sondern um einen Wiper.

Artikel veröffentlicht am ,
Notpetya soll offenbar vor allem zerstören - und ist nicht zum Geldverdienen gedacht.
Notpetya soll offenbar vor allem zerstören - und ist nicht zum Geldverdienen gedacht. (Bild: Amada44/Wikimedia Commons/CC-BY-SA 4.0)

Der von vielen Sicherheitsfirmen zunächst als Petya bezeichnete Trojaner, der in den vergangenen Tagen Unternehmen weltweit infiziert hat, verfügt offenbar nicht über die Möglichkeit, die verschlüsselten Dateien wiederherzustellen. Nach Angaben von Sicherheitsforschern hat er eher Ähnlichkeiten mit dem Disk-Wiper Shamoon.

Stellenmarkt
  1. Bayerisches Hauptstaatsarchiv, München
  2. Hays AG, Hamburg

Einer Analyse von Matt Suiche zufolge soll das Petya-ähnliche Verhalten vor allem zur Ablenkung dienen. Die Motive der Angreifer unterschieden sich von denen krimineller Gangs, es ginge vor allem darum, zu zerstören - und nicht darum, möglichst viel Geld zu verdienen. Auch die Sicherheitsfirma Kaspersky kommt zu einem ähnlichen Schluss.

Einige offensichtliche Unterschiede zu gewinnorientierter Ransomware fallen, wie bei Wanna Cry, schnell auf. So gibt es keine individualisierten Bitcoin-Wallets, was eine automatische Zuordnung gezahlter Beträge erschwert. Auch die Kommunikation über ein einzelnes E-Mail-Konto, was erwartbar schnell geschlossen wurde, deutet nicht darauf hin, dass die Angreifer primär Geld verdienen wollen.

Master File Table und Master Boot Record werden überschrieben

Die Malware verschlüsselt nach einem Neustart des Rechners sowohl den Master File Table als auch den Master Boot Record der Festplatte. Einige Sektoren der Bereich werden verschlüsselt, bei anderen wird ein neuer Bootloader aufgespielt. Die alten Informationen werden der Analyse zufolge nicht gesichert und können daher auch nicht wiederhergestellt werden.

Außerdem würden Angreifer eine Installations-ID benötigen, um den richtigen Schlüssel zur Freigabe der Daten herauszugeben. Diese ID muss eindeutige Informationen über den verschlüsselten Rechner enthalten. Der Analyse von Kaspersky zufolge wird die auf dem Bildschirm der Opfer angezeigte ID aber zufällig generiert und lässt daher keine eindeutige Identifikation zu.

Die Sicherheitsforscher gehen daher davon aus, dass es sich nicht um eine kriminelle Bande handelt, sondern um einen staatlichen Akteur, der wichtige Infrastruktur zerstören will. Die Malware wurde mit Hilfe eines Fehlers im Update-Mechanismus der Software M.E.Doc verteilt, eine Buchhaltungs- und Steuersoftware, die fast alle ukrainischen Unternehmen und solche, die mit der Regierung Geschäfte tätigen, installiert haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Transport Fever 2 für 23,99€, Milanoir für 4,50€, Anno 1602 History Edition für 9...
  2. 50€-Gutschein für 44€
  3. 53,61€ (Bestpreis mit Media Markt!)
  4. (u. a. Sandisk Extreme 256GB SDXC für 54,99€, Western Digital 10 TB Elements Desktop externe...

daarkside 01. Jul 2017

Wenn man nach wie vor davon ausgeht, dass es einzelne Russen sind die Urlaub in der Ost...

FreiGeistler 30. Jun 2017

Macht ja neuerdings auch Deutschland so.

dergnu 30. Jun 2017

Und den Zusammenhang zwischen den Daten stellt man dann wie genau wieder her?

narfomat 30. Jun 2017

-------------------------------------------------------------------------------- und...

ha00x7 29. Jun 2017

Die malware hat verschiedene Namen bekommen. Kaspersky selbst spricht unter anderem von...


Folgen Sie uns
       


Doom Eternal - Test

Doom Eternal ist in den richtigen Momenten wieder eine sehr spaßige Ballerorgie, wird aber an einigen Stellen durch Hüpfpassagen ausgebremst.

Doom Eternal - Test Video aufrufen
    •  /