Abo
  • Services:
Anzeige
Der gefälschte CHKDSK-Prompt
Der gefälschte CHKDSK-Prompt (Bild: F-Secure)

Ransomware: Petya-Kampagne nutzt Lücke in Buchhaltungssoftware

Der gefälschte CHKDSK-Prompt
Der gefälschte CHKDSK-Prompt (Bild: F-Secure)

Einen Tag nach Ausbruch einer neuen globalen Ransomware-Welle gibt es Informationen zum Verbreitungsweg. Die Macher der Ransomware gehen offenbar deutlich organisierter vor, als bei Wanna Cry. Auch das Kernkraftwerk Tschernobyl ist infiziert.

Die aktuelle Petya-Ransomwarekampagne nutzt mehrere Vektoren, um Rechner zu infizieren. Neben einem Exploit aus dem Shadowbroker-Fundus wird auch eine Schwachstelle in einem von der ukrainischen Regierung genutzten Buchhaltungsprogramm ausgenutzt. Die Ransomware hat vor allem Opfer in der Ukraine befallen, darunter die Zentralbank und das Kernkraftwerk Tschernobyl.

Anzeige

Die Macher der Ransomware wollen offenbar deutlich gezielter vorgehen, als die Autoren von Wanna Cry. Die Infektionen verbreiten sich nicht über das offene Internet, sondern vor allem in Unternehmensnetzwerken. Wird ein Rechner in einem solchen Netzwerk infiziert, beginnt er einen Scan eines /24-Netzwerksegements, es können also maximal 255 IP-Adressen erfasst werden. Wanna Cry nutzte die Eternal-Blue-Schwachstelle im SMBv1-Protokoll und versuchte nach einer Infektion, verwundbare Rechner im gesamten Internet zu finden und diese zu infizieren.

Die russische Sicherheitsfirma Group-IB schreibt, Petya enthalte das Werkzeug LSADump, mit dem in Windows-Netzwerken Passwörter von Clients und Domänen-Controllern ausgelesen werden könnten. Ein wichtiger Vektor zur Installation der Ransomware soll jedoch eine Sicherheitslücke im Update-Mechanismus der Software M.E.Doc sein, eine Buchhaltungssoftware, die die ukrainische Regierung Unternehmen und Organisationen vorschreibt, die mit ihr zusammenarbeiten wollen.

Für Verwirrung dürfte die Namensgebung des Trojaners durch verschiedene Sicherheitsfirmen sein. Alleine Kaspersky nutzt zahlreiche Namen und schrieb zunächst, es würde sich nicht um eine Petya-Variante handeln. Zunächst wurde der Trojaner als NotPetya bezeichnet, mittlerweile bezeichnet die Firma den Schädling als "exPetr". Auch die Bezeichnung Petwrap wird von einigen Firmen verwendet.

Keine individuellen Bitcoin-Wallets

Ähnlich wie bei Wanna Cry verfügt die verbreitete Petya-Variante nicht über individualisierte Bitcoin-Wallets. Opfer, die die Lösegeldforderung bezahlt haben, sollen per Mail Kontakt mit den Erpressern aufnehmen.

Das wird aber nicht gelingen, denn das beim Berliner Mailprovider Posteo angelegte Postfach wurde nach Bekanntwerden des Angriffs durch den Betreiber gesperrt, es werden auch keinerlei eingehende Mails mehr angenommen, wie Posteo schreibt.

Durch die Abschaltung des Postfachs haben Opfer der Ransomware keine Chance mehr, in Kontakt mit den Erpressern zu treten. Generell warnen Sicherheitsfirmen und auch Institutionen wie das BSI und die Polizei davor, Erpresser zu bezahlen, wenn es sich irgendwie vermeiden lässt.

Anders als andere Ransomware verschlüsselt Petya nicht einzelne Dateien, sondern nach einem Reboot den Master-File-Table des Rechners. Eine gefälschte CHKDSK-Warnung nach einem Neustart suggeriert Aufräumarbeiten auf der Festplatte, in dieser Zeit findet aber die Verschlüsselung statt.

Die Ransomware erstellt in infizierten Rechnern eine Aufgabe, die einen automatischen Neustart nach etwa einer Stunde vornimmt, wie die Sicherheitsfirma F-Secure schreibt.

Wer infiziert wurde, kann den Rechner herunterfahren, über einen USB-Stick ein Live-Betriebssystem starten und alle Dateien sichern. Unklar ist derzeit, ob eine früher veröffentlichte Methode zur Entschlüsselung auch bei aktuellen Petya-Opfern hilft.

Erneut wurden vor allem Firmen und Ministerien infiziert, da diese häufiger aus Kompatibilitätsgründen alte Softwareversionen weiter benutzen. Neben der Containerlinie Maersk und dem Ölkozern Rosneft sind auch die ukrainische Zentralbank und das Krisen-AKW Tschernobyl infiziert. Messdaten werden derzeit nicht mehr über ein computergestütztes System erhoben, auch die Webseite des stillgelegten AKW war zwischenzeitlich offline.


eye home zur Startseite
Bizzi 30. Jun 2017

Und niemand merkt, dass dies nur ein "Vorschlag" wäre.

Themenstart

Eheran 29. Jun 2017

Da spricht man einen ganz anderen "Trieb" bei der Zielperson an als bei einer Ransomware...

Themenstart

Eheran 29. Jun 2017

Ja, das kümmert den sogar sehr. Wenn man weiß, dass man es nicht entschlüsselt bekommt...

Themenstart

der_wahre_hannes 29. Jun 2017

So? Wohin "überweisen" die Betroffenen denn das Geld?

Themenstart

Truster 29. Jun 2017

Ich sehe das anders. Sie wollen alles öffnen, müssen es aber noch lange nicht. Wer...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. DMG MORI Management GmbH, Bielefeld
  2. Robert Bosch GmbH, Schwieberdingen
  3. Ratbacher GmbH, Essen
  4. Fraunhofer-Institut für Kurzzeitdynamik Ernst-Mach-Institut, EMI, Freiburg


Anzeige
Blu-ray-Angebote
  1. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)
  2. 29,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Android O

    Google veröffentlicht letzte Testversion vor Release

  2. Fruit Fly 2

    Mysteriöse Mac-Malware seit Jahren aktiv

  3. Poets One im Test

    Kleiner Preamp, großer Sound

  4. Chipping

    Firma versieht Mitarbeiter mit Microchips

  5. Elektroautos

    Bayern startet Förderprogramm für Ladesäulen

  6. Elektrorennserie

    Mercedes Benz steigt in die Formel E ein

  7. Ronny Verhelst

    Tele-Columbus-Chef geht nach Hause

  8. Alphabet

    Googles Gewinn geht wegen EU-Strafe zurück

  9. Microsoft

    Nächste Hololens nutzt Deep-Learning-Kerne

  10. Schwerin

    Livestream-Mitschnitt des Stadtrats kostet 250.000 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Neuer A8 vorgestellt: Audis Staupilot steckt noch im Zulassungsstau
Neuer A8 vorgestellt
Audis Staupilot steckt noch im Zulassungsstau
  1. Autonomes Fahren Continental will beim Kartendienst Here einsteigen
  2. Verbrenner Porsche denkt über Dieselausstieg nach
  3. Autonomes Fahren Audi lässt Kunden selbstfahrenden A7 testen

Anker Powercore+ 26800 PD im Test: Die Powerbank für (fast) alles
Anker Powercore+ 26800 PD im Test
Die Powerbank für (fast) alles
  1. Toshiba Teures Thunderbolt-3-Dock mit VGA-Anschluss
  2. Asus Das Zenbook Flip S ist 10,9 mm flach
  3. Anker Powercore+ 26800 PD Akkupack liefert Strom per Power Delivery über USB Typ C

Matebook X im Test: Huaweis erstes Ultrabook glänzt
Matebook X im Test
Huaweis erstes Ultrabook glänzt
  1. Huawei Neue Rack- und Bladeserver für Azure Stack vorgestellt
  2. Matebook X Huaweis erstes Notebook im Handel erhältlich
  3. Y6 (2017) und Y7 Huawei bringt zwei neue Einsteiger-Smartphones ab 180 Euro

  1. Re: Wie bekommt man den Müll

    Mars018 | 10:31

  2. Re: Offizielle Ladepunkte meist unbrauchbar

    Kosta | 10:29

  3. Re: Softwareunschärfe

    Icestorm | 10:28

  4. Re: Kapier ich nicht wieso Bayern ?

    Bujin | 10:27

  5. Re: Die Euphorie gab es schonmal Ende der 80er

    Trollversteher | 10:27


  1. 10:33

  2. 10:28

  3. 09:15

  4. 08:47

  5. 08:05

  6. 07:29

  7. 23:54

  8. 22:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel