• IT-Karriere:
  • Services:

Petya: Die Ransomware ist ein Zerstörungstrojaner

Unternehmen, die Opfer der aktuellen Malware-Kampagne geworden sind, haben wohl wenig Aussicht, ihre Dateien wiederherstellen zu können. Verschiedene Sicherheitsfirmen gehen davon aus, dass es sich nicht um eine Ransomware handelt, sondern um einen Wiper.

Artikel veröffentlicht am ,
Notpetya soll offenbar vor allem zerstören - und ist nicht zum Geldverdienen gedacht.
Notpetya soll offenbar vor allem zerstören - und ist nicht zum Geldverdienen gedacht. (Bild: Amada44/Wikimedia Commons/CC-BY-SA 4.0)

Der von vielen Sicherheitsfirmen zunächst als Petya bezeichnete Trojaner, der in den vergangenen Tagen Unternehmen weltweit infiziert hat, verfügt offenbar nicht über die Möglichkeit, die verschlüsselten Dateien wiederherzustellen. Nach Angaben von Sicherheitsforschern hat er eher Ähnlichkeiten mit dem Disk-Wiper Shamoon.

Stellenmarkt
  1. Schwarz Dienstleistung KG, Raum Neckarsulm
  2. AKKA, Braunschweig

Einer Analyse von Matt Suiche zufolge soll das Petya-ähnliche Verhalten vor allem zur Ablenkung dienen. Die Motive der Angreifer unterschieden sich von denen krimineller Gangs, es ginge vor allem darum, zu zerstören - und nicht darum, möglichst viel Geld zu verdienen. Auch die Sicherheitsfirma Kaspersky kommt zu einem ähnlichen Schluss.

Einige offensichtliche Unterschiede zu gewinnorientierter Ransomware fallen, wie bei Wanna Cry, schnell auf. So gibt es keine individualisierten Bitcoin-Wallets, was eine automatische Zuordnung gezahlter Beträge erschwert. Auch die Kommunikation über ein einzelnes E-Mail-Konto, was erwartbar schnell geschlossen wurde, deutet nicht darauf hin, dass die Angreifer primär Geld verdienen wollen.

Master File Table und Master Boot Record werden überschrieben

Die Malware verschlüsselt nach einem Neustart des Rechners sowohl den Master File Table als auch den Master Boot Record der Festplatte. Einige Sektoren der Bereich werden verschlüsselt, bei anderen wird ein neuer Bootloader aufgespielt. Die alten Informationen werden der Analyse zufolge nicht gesichert und können daher auch nicht wiederhergestellt werden.

Außerdem würden Angreifer eine Installations-ID benötigen, um den richtigen Schlüssel zur Freigabe der Daten herauszugeben. Diese ID muss eindeutige Informationen über den verschlüsselten Rechner enthalten. Der Analyse von Kaspersky zufolge wird die auf dem Bildschirm der Opfer angezeigte ID aber zufällig generiert und lässt daher keine eindeutige Identifikation zu.

Die Sicherheitsforscher gehen daher davon aus, dass es sich nicht um eine kriminelle Bande handelt, sondern um einen staatlichen Akteur, der wichtige Infrastruktur zerstören will. Die Malware wurde mit Hilfe eines Fehlers im Update-Mechanismus der Software M.E.Doc verteilt, eine Buchhaltungs- und Steuersoftware, die fast alle ukrainischen Unternehmen und solche, die mit der Regierung Geschäfte tätigen, installiert haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Alien 1 - 6 Collection inkl. Alien-Ei für 126,99€, Ash vs. Evil Dead 1 - 2 + Figur für...
  2. (u. a. Stronghold Crusader 2 für 2,99€, WoW Gamecard Prepaid 30 Tage für 12,49€, FIFA 20 PC...
  3. 299,00€ (Bestpreis!)

daarkside 01. Jul 2017

Wenn man nach wie vor davon ausgeht, dass es einzelne Russen sind die Urlaub in der Ost...

FreiGeistler 30. Jun 2017

Macht ja neuerdings auch Deutschland so.

dergnu 30. Jun 2017

Und den Zusammenhang zwischen den Daten stellt man dann wie genau wieder her?

narfomat 30. Jun 2017

-------------------------------------------------------------------------------- und...

ha00x7 29. Jun 2017

Die malware hat verschiedene Namen bekommen. Kaspersky selbst spricht unter anderem von...


Folgen Sie uns
       


Looking Glass Holo-Display angesehen (CES 2020)

Der Looking Glass 8K ist ein Monitor, der mittels Lichtfeldtechnologie 3D-Inhalte als Hologramm anzeigen kann. Golem.de hat sich das Display auf der CES 2020 genauer angeschaut.

Looking Glass Holo-Display angesehen (CES 2020) Video aufrufen
Akkutechnik: In Zukunft kommen Akkus mit weniger seltenen Rohstoffen aus
Akkutechnik
In Zukunft kommen Akkus mit weniger seltenen Rohstoffen aus

In unserer Artikelserie zu Akku-FAQs geht es diesmal um bessere Akkus, um mehr Akkus und um Akkus ohne seltene Rohstoffe. Den Wunderakku, der alles kann, den gibt es leider nicht. Mit Energiespeichern ohne Akku beschäftigen wir uns später in Teil 2 dieses Artikels.
Von Frank Wunderlich-Pfeiffer

  1. Elektroautos BASF baut Kathodenfabrik in Brandenburg
  2. Joint Venture Panasonic und Toyota bauen prismatische Zellen für E-Autos
  3. Elektromobilität EU-Kommission genehmigt europäisches Batterieprojekt

Login-Dienste: Wer von der Klarnamenpflicht profitieren könnte
Login-Dienste
Wer von der Klarnamenpflicht profitieren könnte

Immer wieder bringen Politiker einen Klarnamenzwang oder eine Identifizierungspflicht für Nutzer im Internet ins Spiel. Doch welche Anbieter könnten von dieser Pflicht am ehesten einen Vorteil erzielen?
Eine Analyse von Friedhelm Greis

  1. Europäische Netzpolitik Die Rückkehr des Axel Voss
  2. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  3. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

Videostreaming: Was an Prime Video und Netflix nervt
Videostreaming
Was an Prime Video und Netflix nervt

Eine ständig anders sortierte Watchlist, ein automatisch startender Stream oder fehlende Markierungen für Aboinhalte: Oft sind es nur Kleinigkeiten, die den Spaß am Streaming vermiesen - eine Hassliste.
Ein IMHO von Ingo Pakalski

  1. WhatsOnFlix Smartphone-App für bessere Verwaltung der Netflix-Inhalte
  2. Netflix Staffel-2-Trailer zeigt Cyberpunk-Welt von Altered Carbon
  3. Videostreaming Netflix musste Night of the Living Dead entfernen

    •  /