Abo
  • Services:
Anzeige
Der gefälschte CHKDSK-Prompt
Der gefälschte CHKDSK-Prompt (Bild: F-Secure)

Ransomware: Petya-Kampagne nutzt Lücke in Buchhaltungssoftware

Der gefälschte CHKDSK-Prompt
Der gefälschte CHKDSK-Prompt (Bild: F-Secure)

Einen Tag nach Ausbruch einer neuen globalen Ransomware-Welle gibt es Informationen zum Verbreitungsweg. Die Macher der Ransomware gehen offenbar deutlich organisierter vor, als bei Wanna Cry. Auch das Kernkraftwerk Tschernobyl ist infiziert.

Die aktuelle Petya-Ransomwarekampagne nutzt mehrere Vektoren, um Rechner zu infizieren. Neben einem Exploit aus dem Shadowbroker-Fundus wird auch eine Schwachstelle in einem von der ukrainischen Regierung genutzten Buchhaltungsprogramm ausgenutzt. Die Ransomware hat vor allem Opfer in der Ukraine befallen, darunter die Zentralbank und das Kernkraftwerk Tschernobyl.

Anzeige

Die Macher der Ransomware wollen offenbar deutlich gezielter vorgehen, als die Autoren von Wanna Cry. Die Infektionen verbreiten sich nicht über das offene Internet, sondern vor allem in Unternehmensnetzwerken. Wird ein Rechner in einem solchen Netzwerk infiziert, beginnt er einen Scan eines /24-Netzwerksegements, es können also maximal 255 IP-Adressen erfasst werden. Wanna Cry nutzte die Eternal-Blue-Schwachstelle im SMBv1-Protokoll und versuchte nach einer Infektion, verwundbare Rechner im gesamten Internet zu finden und diese zu infizieren.

Die russische Sicherheitsfirma Group-IB schreibt, Petya enthalte das Werkzeug LSADump, mit dem in Windows-Netzwerken Passwörter von Clients und Domänen-Controllern ausgelesen werden könnten. Ein wichtiger Vektor zur Installation der Ransomware soll jedoch eine Sicherheitslücke im Update-Mechanismus der Software M.E.Doc sein, eine Buchhaltungssoftware, die die ukrainische Regierung Unternehmen und Organisationen vorschreibt, die mit ihr zusammenarbeiten wollen.

Für Verwirrung dürfte die Namensgebung des Trojaners durch verschiedene Sicherheitsfirmen sein. Alleine Kaspersky nutzt zahlreiche Namen und schrieb zunächst, es würde sich nicht um eine Petya-Variante handeln. Zunächst wurde der Trojaner als NotPetya bezeichnet, mittlerweile bezeichnet die Firma den Schädling als "exPetr". Auch die Bezeichnung Petwrap wird von einigen Firmen verwendet.

Keine individuellen Bitcoin-Wallets

Ähnlich wie bei Wanna Cry verfügt die verbreitete Petya-Variante nicht über individualisierte Bitcoin-Wallets. Opfer, die die Lösegeldforderung bezahlt haben, sollen per Mail Kontakt mit den Erpressern aufnehmen.

Das wird aber nicht gelingen, denn das beim Berliner Mailprovider Posteo angelegte Postfach wurde nach Bekanntwerden des Angriffs durch den Betreiber gesperrt, es werden auch keinerlei eingehende Mails mehr angenommen, wie Posteo schreibt.

Durch die Abschaltung des Postfachs haben Opfer der Ransomware keine Chance mehr, in Kontakt mit den Erpressern zu treten. Generell warnen Sicherheitsfirmen und auch Institutionen wie das BSI und die Polizei davor, Erpresser zu bezahlen, wenn es sich irgendwie vermeiden lässt.

Anders als andere Ransomware verschlüsselt Petya nicht einzelne Dateien, sondern nach einem Reboot den Master-File-Table des Rechners. Eine gefälschte CHKDSK-Warnung nach einem Neustart suggeriert Aufräumarbeiten auf der Festplatte, in dieser Zeit findet aber die Verschlüsselung statt.

Die Ransomware erstellt in infizierten Rechnern eine Aufgabe, die einen automatischen Neustart nach etwa einer Stunde vornimmt, wie die Sicherheitsfirma F-Secure schreibt.

Wer infiziert wurde, kann den Rechner herunterfahren, über einen USB-Stick ein Live-Betriebssystem starten und alle Dateien sichern. Unklar ist derzeit, ob eine früher veröffentlichte Methode zur Entschlüsselung auch bei aktuellen Petya-Opfern hilft.

Erneut wurden vor allem Firmen und Ministerien infiziert, da diese häufiger aus Kompatibilitätsgründen alte Softwareversionen weiter benutzen. Neben der Containerlinie Maersk und dem Ölkozern Rosneft sind auch die ukrainische Zentralbank und das Krisen-AKW Tschernobyl infiziert. Messdaten werden derzeit nicht mehr über ein computergestütztes System erhoben, auch die Webseite des stillgelegten AKW war zwischenzeitlich offline.


eye home zur Startseite
Bizzi 30. Jun 2017

Und niemand merkt, dass dies nur ein "Vorschlag" wäre.

Eheran 29. Jun 2017

Da spricht man einen ganz anderen "Trieb" bei der Zielperson an als bei einer Ransomware...

Eheran 29. Jun 2017

Ja, das kümmert den sogar sehr. Wenn man weiß, dass man es nicht entschlüsselt bekommt...

der_wahre_hannes 29. Jun 2017

So? Wohin "überweisen" die Betroffenen denn das Geld?

Truster 29. Jun 2017

Ich sehe das anders. Sie wollen alles öffnen, müssen es aber noch lange nicht. Wer...



Anzeige

Stellenmarkt
  1. Ratbacher GmbH, Coburg
  2. Robert Bosch GmbH, Leonberg
  3. ROHDE & SCHWARZ GmbH & Co. KG, München
  4. NKM Noell Special Cranes GmbH, Würzburg, Veitshöchheim


Anzeige
Spiele-Angebote
  1. 3,99€
  2. 42,49€
  3. 49,99€

Folgen Sie uns
       


  1. MacOS 10.13

    Apple gibt High Sierra frei

  2. WatchOS 4.0 im Test

    Apples praktische Taschenlampe mit autarkem Musikplayer

  3. Werksreset

    Unitymedia stellt Senderbelegung heute in Hessen um

  4. Aero 15 X

    Mehr Frames mit der GTX 1070 im neuen Gigabyte-Laptop

  5. Review Bombing

    Valve verbessert Transparenz bei Nutzerbewertungen auf Steam

  6. Big Four

    Kundendaten von Deloitte offenbar gehackt

  7. U2F

    Yubico bringt winzigen Yubikey für USB-C

  8. Windows 10

    Windows Store wird zum Microsoft Store mit Hardwareangeboten

  9. Kabelnetz

    Eazy senkt Preis für 50-MBit/s-Zugang im Unitymedia-Netz

  10. Nintendo

    Super Mario Run wird umfangreicher und günstiger



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

Inspiron 5675 im Test: Dells Ryzen-Gaming-PC reicht mindestens bis 2020
Inspiron 5675 im Test
Dells Ryzen-Gaming-PC reicht mindestens bis 2020
  1. Android 8.0 im Test Fertig oder nicht fertig, das ist hier die Frage
  2. Logitech Powerplay im Test Die niemals leere Funk-Maus
  3. Polar vs. Fitbit Duell der Schlafexperten

Anki Cozmo im Test: Katze gegen Roboter
Anki Cozmo im Test
Katze gegen Roboter
  1. Die Woche im Video Apple, Autos und ein grinsender Affe

  1. Re: Was ihnen Golem unterschlägt

    ManMashine | 21:02

  2. Re: Kritische Masse für die Berichterstattung

    dantist | 20:59

  3. Re: Das ist schon heftig.

    JouMxyzptlk | 20:59

  4. Re: ...und meinem Vermieter sag ich jetzt was?

    groupsi2beld | 20:58

  5. Re: Nutzen von ECC?

    robinx999 | 20:55


  1. 19:40

  2. 19:00

  3. 17:32

  4. 17:19

  5. 17:00

  6. 16:26

  7. 15:31

  8. 13:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel