Skip to main content

Petya oder NotPetya, das ist nicht die Frage

Gestartet als vermeintliche Ransomware – nun sind sich die Analysten einig, dass der Fokus dieser Malware nicht mehr der Profit ist – sondern der maximal mögliche Schaden. Somit spricht man nun mehr von dem Namen „NotPetya“ und kategorisiert diesen als sogenannten Wiper.



Aktuellen Analysen zu Folge ist eine Datenwiederherstellung nicht mehr möglich – da sämtliche Verschlüsselungsroutinen gar keine Rechner-Eindeutigkeit besitzen und somit auch keine gezielte Wiederherstellung ausführbar ist. Man kann also davon ausgehen, dass die Verschlüsselung und Lösegeldforderungen bei NotPetya wohl nur ein Ablenkungsmanöver ist.

Verschiedenen Quellen zufolge soll die Maleware einen sogenannten KillSwitch haben. Dies ist zwar inzwischen bestätigt, dennoch möchten wir nicht verpassen, Sie darauf aufmerksam machen, dass dies kein genereller Schutz ist und nicht vor allen Varianten „schützen“ kann.

Zunächst: Wie geht „Petya/NotPetya“ überhaupt vor?

(Quelle: Anomali.com)

Die Grafik veranschaulicht, wie „Petya/NotPetya“ arbeitet. Der KillSwitch setzt dort ein, wo die Malware das erste eigene File ablegen möchte. Hier wird bereits im Vorfeld versucht, diese Datei selber anzulegen und ihr die Lese- bzw. Schreibberechtigung für alle zu entziehen. Ziel: Das eigentliche File kann nicht abgelegt, im Fachjargon „gedroppt“, werden.

Das Problem ist jedoch, dass dieses Drop-File sich immer unterscheidet. So gibt es Varianten, die unter %Windows% eine Datei perfc oder perfc.dat brauchen, aber auch Varianten, die eine perfc.dll fordern. Es ist anzunehmen, dass es bald auch Varianten mit Zufallsdaten pro Rechner gibt.

Wie schützen?

Es gelten auch bei diesem Schädling, ganz grundsätzliche Empfehlungen:

  • Zahlen Sie nicht!
    Provider haben die E-Mail-Adresse, für die angebliche Recovery-Keys ins Postfach flattern, schon abgeschaltet.  Die Verschlüsselung ist nur eine Ablenkung.
  • Patchen Sie!
    Schädlinge dieser Art nutzen immer eine Verwundbarkeit des Zielsystems. Durch konsequentes Patchen können Sie dieses Risiko stark minimieren.
  • AntiVirus-Lösungen richtig einsetzten!
    Aktivieren Sie als Nutzer von Kaspersky AV-Lösungen den sogenannten „System Watcher“ für grundsätzlichen Schutz vor Malware dieser Art.
  • Deaktivieren Sie die Digest Authentication wenn möglich!
  • Ein zentraler Admin!
    Nutzen Sie niemals lokale Admin-Accounts – die schlimmstenfalls auch noch dasselbe Passwort nutzen.

Außerdem:

  • Passwörter mit Domänen-Privilegien sollten geändert werden – regelmässig.
  • Nutzung vom psexec und wmic beobachten
  • SMBv1 im Netzwerk global deaktivieren
  • Offline-Backups pflegen

Und noch etwas:

Unternehmen werden sich an regelmäßige Ransomware-Angriffe gewöhnen müssen. Ziehen Sie aus Vorfällen wie „WannaCry“ und „Petya“ Ihre Schlüsse!