Abo
  • IT-Karriere:

Petya: Die Ransomware ist ein Zerstörungstrojaner

Unternehmen, die Opfer der aktuellen Malware-Kampagne geworden sind, haben wohl wenig Aussicht, ihre Dateien wiederherstellen zu können. Verschiedene Sicherheitsfirmen gehen davon aus, dass es sich nicht um eine Ransomware handelt, sondern um einen Wiper.

Artikel veröffentlicht am ,
Notpetya soll offenbar vor allem zerstören - und ist nicht zum Geldverdienen gedacht.
Notpetya soll offenbar vor allem zerstören - und ist nicht zum Geldverdienen gedacht. (Bild: Amada44/Wikimedia Commons/CC-BY-SA 4.0)

Der von vielen Sicherheitsfirmen zunächst als Petya bezeichnete Trojaner, der in den vergangenen Tagen Unternehmen weltweit infiziert hat, verfügt offenbar nicht über die Möglichkeit, die verschlüsselten Dateien wiederherzustellen. Nach Angaben von Sicherheitsforschern hat er eher Ähnlichkeiten mit dem Disk-Wiper Shamoon.

Stellenmarkt
  1. Porsche Consulting GmbH, Stuttgart, Berlin, Frankfurt am Main, Hamburg, München
  2. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Esslingen am Neckar

Einer Analyse von Matt Suiche zufolge soll das Petya-ähnliche Verhalten vor allem zur Ablenkung dienen. Die Motive der Angreifer unterschieden sich von denen krimineller Gangs, es ginge vor allem darum, zu zerstören - und nicht darum, möglichst viel Geld zu verdienen. Auch die Sicherheitsfirma Kaspersky kommt zu einem ähnlichen Schluss.

Einige offensichtliche Unterschiede zu gewinnorientierter Ransomware fallen, wie bei Wanna Cry, schnell auf. So gibt es keine individualisierten Bitcoin-Wallets, was eine automatische Zuordnung gezahlter Beträge erschwert. Auch die Kommunikation über ein einzelnes E-Mail-Konto, was erwartbar schnell geschlossen wurde, deutet nicht darauf hin, dass die Angreifer primär Geld verdienen wollen.

Master File Table und Master Boot Record werden überschrieben

Die Malware verschlüsselt nach einem Neustart des Rechners sowohl den Master File Table als auch den Master Boot Record der Festplatte. Einige Sektoren der Bereich werden verschlüsselt, bei anderen wird ein neuer Bootloader aufgespielt. Die alten Informationen werden der Analyse zufolge nicht gesichert und können daher auch nicht wiederhergestellt werden.

Außerdem würden Angreifer eine Installations-ID benötigen, um den richtigen Schlüssel zur Freigabe der Daten herauszugeben. Diese ID muss eindeutige Informationen über den verschlüsselten Rechner enthalten. Der Analyse von Kaspersky zufolge wird die auf dem Bildschirm der Opfer angezeigte ID aber zufällig generiert und lässt daher keine eindeutige Identifikation zu.

Die Sicherheitsforscher gehen daher davon aus, dass es sich nicht um eine kriminelle Bande handelt, sondern um einen staatlichen Akteur, der wichtige Infrastruktur zerstören will. Die Malware wurde mit Hilfe eines Fehlers im Update-Mechanismus der Software M.E.Doc verteilt, eine Buchhaltungs- und Steuersoftware, die fast alle ukrainischen Unternehmen und solche, die mit der Regierung Geschäfte tätigen, installiert haben.



Anzeige
Top-Angebote
  1. 749,00€
  2. 199,00€
  3. (u. a. Age of Wonders: Planetfall für 39,99€, Imperator: Rome für 23,99€, Stellaris für 9...
  4. (aktuell u. a. Acer One 10 Tablet-PC für 279,00€, Asus Zenforce Handy für 279,00€, Deepcool...

daarkside 01. Jul 2017

Wenn man nach wie vor davon ausgeht, dass es einzelne Russen sind die Urlaub in der Ost...

FreiGeistler 30. Jun 2017

Macht ja neuerdings auch Deutschland so.

dergnu 30. Jun 2017

Und den Zusammenhang zwischen den Daten stellt man dann wie genau wieder her?

narfomat 30. Jun 2017

-------------------------------------------------------------------------------- und...

ha00x7 29. Jun 2017

Die malware hat verschiedene Namen bekommen. Kaspersky selbst spricht unter anderem von...


Folgen Sie uns
       


Sega Dreamcast (1999) - Golem retro

Am 9.9.1999 startete Segas letzte Konsole in ein kurzes, aber erfülltes Spieleleben.

Sega Dreamcast (1999) - Golem retro Video aufrufen
WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

    •  /