logo ntadmins

Ransomware Petya ist zurück

28. Juni 2017
Ransomware weiter auf dem Vormarsch

Aktuell häufen sich die Meldungen zu einem erneuten „Aufflammen“ der Petya-Ransomware. Diese wird zunächst über die typischen Emails mit Datei Anhang verbreitet. Allerdings nutzen die unterschiedlichen Varianten von Petya auch eine Lücke im SMB-Protokoll – wie auch schon „WannaCry“. Auf diese Weise kann sich die Schadsoftware quasi wie ein „Wurm“ weiterverbreiten, und Systeme (beinahe) unbemerkt befallen, obwohl auf diesen Systemen vom Benutzer keine verseuchte Datei geöffnet wurde. Es reicht wenn sich die Systeme im Netzwerk befinden, dagegen lässt sich allerdings vorgehen:

  • Sicherheitsupdate MS17-010 installieren,
  • Backups der Systeme (auf Offline-Medien) anlegen,
  • und eingehende Verbindungen auf Port 445 (TCP) blockieren.

Auch empfiehlt es sich, entsprechende Security-Konzepte zu nutzen, etwa um fragwürdige Dateien (PDFs, oder Office-Dokumente aus dem Internet oder aus E-Mails) in einer „Sandbox“ zu öffnen, damit diese keinen Schaden anrichten können. Auch bringen Sicherheitskonzepte, die den Benutzern nur rudimentäre Rechte zuweisen, und nur Applikationen (die in einer Whitelist) eingetragen sind, mit höheren rechten ausstattet, die Systemsicherheit deutlich. Da sich „Petya“ nicht in der Whitelist befindet, werden vom System keine rechte vergeben, und der Angriff kann so ins Leere laufen. Dies ist etwa mit Defendpoint möglich, Unternehmen die auf die Next Generation Security-Plattform von Palo Alto setzen, sollen ebenfalls „sicher“ sein.

Falls Petra allerdings Zugriff auf das System erhält, wird der MBR verändert (Master Boot Record), und ein Systemabsturz initiiert. Danach sorgt die Veränderung am MBR, dass sich das System nicht starten lässt, und stattdessen wird ein Erpresserschreiben mit Zahlungsaufforderung (in Bitcoin) angezeigt.

Hierbei wird auch klar, dass die eingesetzte Backup-Software den MBR-Bereich der Massenspeichermedien unbedingt mitsichern muss. Hier ist beispielsweise Acronis True Image zu nennen. Werden „nur“ die Daten gesichert, können sich die Systembetreuer schon einmal auf eine längerfristige Aktion einstellen – wenn dutzende Systeme im Unternehmen neu installiert werden müssen.

Florian Huttenloher

Lesen Sie auch

Lock with digits Data security, cybersecurity, cyber defense concept

Cookies als Risiko für SaaS-Anwendungen

b commvault

Schlüsselfaktoren für die KI-gestützte Cyber-Datenresilienz

Internet, business, Technology and network concept Hacking Detected Concept meaning activities that seek to compromise affairs are exposed Entering New Programming Codes d illustration

Bedrohungserkennung: EDR und/oder SIEM?