Ransomware Petya ist zurück
28. Juni 2017Aktuell häufen sich die Meldungen zu einem erneuten „Aufflammen“ der Petya-Ransomware. Diese wird zunächst über die typischen Emails mit Datei Anhang verbreitet. Allerdings nutzen die unterschiedlichen Varianten von Petya auch eine Lücke im SMB-Protokoll – wie auch schon „WannaCry“. Auf diese Weise kann sich die Schadsoftware quasi wie ein „Wurm“ weiterverbreiten, und Systeme (beinahe) unbemerkt befallen, obwohl auf diesen Systemen vom Benutzer keine verseuchte Datei geöffnet wurde. Es reicht wenn sich die Systeme im Netzwerk befinden, dagegen lässt sich allerdings vorgehen:
- Sicherheitsupdate MS17-010 installieren,
- Backups der Systeme (auf Offline-Medien) anlegen,
- und eingehende Verbindungen auf Port 445 (TCP) blockieren.
Auch empfiehlt es sich, entsprechende Security-Konzepte zu nutzen, etwa um fragwürdige Dateien (PDFs, oder Office-Dokumente aus dem Internet oder aus E-Mails) in einer „Sandbox“ zu öffnen, damit diese keinen Schaden anrichten können. Auch bringen Sicherheitskonzepte, die den Benutzern nur rudimentäre Rechte zuweisen, und nur Applikationen (die in einer Whitelist) eingetragen sind, mit höheren rechten ausstattet, die Systemsicherheit deutlich. Da sich „Petya“ nicht in der Whitelist befindet, werden vom System keine rechte vergeben, und der Angriff kann so ins Leere laufen. Dies ist etwa mit Defendpoint möglich, Unternehmen die auf die Next Generation Security-Plattform von Palo Alto setzen, sollen ebenfalls „sicher“ sein.
Falls Petra allerdings Zugriff auf das System erhält, wird der MBR verändert (Master Boot Record), und ein Systemabsturz initiiert. Danach sorgt die Veränderung am MBR, dass sich das System nicht starten lässt, und stattdessen wird ein Erpresserschreiben mit Zahlungsaufforderung (in Bitcoin) angezeigt.
Hierbei wird auch klar, dass die eingesetzte Backup-Software den MBR-Bereich der Massenspeichermedien unbedingt mitsichern muss. Hier ist beispielsweise Acronis True Image zu nennen. Werden „nur“ die Daten gesichert, können sich die Systembetreuer schon einmal auf eine längerfristige Aktion einstellen – wenn dutzende Systeme im Unternehmen neu installiert werden müssen.
Florian Huttenloher