Tipps und Gegenmassnahme Ransomware Petya/NotPetya

Keine zwei Monate nach der Verbreitung der Malware „WannaCry“ befällt nun „Petya“ beziehungsweise „NotPetya“ wie ein Wurm Netzwerke in aller Welt. Tatsächlich handelt es sich bei „Petya“ beziehungsweise „NotPetya“ um einen alten Bekannten.

Herkunft
Tatsächlich handelt es sich bei „Petya“ beziehungsweise „NotPetya“ um einen alten Bekannten. Denn bereits 2016 hielt die Ransomware die Welt in Atem. Damals verschlüsselte sie den Master Boot Record (MBR) des Computers – und machte das Starten des Rechners auf diese Art und Weise zu einem Ding der Unmöglichkeit. Die neueste Infektionswelle zielt nicht auf Erpressung, sondern auf Chaos und Lahmlegung ganzer Unternehmen. Immer mehr Sicherheitsfirmen verwenden daher den Codenamen „NotPetya“. Nach ersten Informationen kam die Malware über ein Software-Update für die ukrainische Steuerbuchhaltung MeDoc in Umlauf. Den Angreifern gelang die Platzierung ihres schadhaften Programms in ein Software-Update der MeDoc-Entwickler. Aufgrund der Verwendung der Software nicht nur innerhalb, sondern auch außerhalb der Ukraine verbreitete sich die Malware rasend schnell über den gesamten Globus. Prominente Opfer sind Nivea, Mondelēz (u.a. Milka) sowie der Flughafen von Kiew. Allein in der Ukraine erlagen 12.500 Rechner dem Cyberangriff. Laut Tim Berghoff, Security Evangelist bei G Data, nimmt die aktuelle Infektionswelle gezielt Unternehmen ins Fadenkreuz. Abhängig ist die gewählte Verschlüsselungsmethode von den Berechtigungen. Auch versucht sich die Malware wie bereits ihre Vorgängerin an der Überschreibung des MBR – und damit an der Auslösung eines Neustarts des Rechners zur Verhinderung von Gegenmaßnahmen.

Verbreitung
Die neue „Petya“-Variante verbreitet sich durch den Exploit EternalBlue, und zwar über eine bekannte SMB-Lücke in Windows. Genutzt wurde diese bereits von der NSA zu Spionagezwecken. EternalBlue verhalf bereits der Ransomware „WannaCry“ zu rasend schneller Verbreitung auf über 200.000 Windows-Rechnern in aller Welt. Daneben funktioniert „Petya“ laut Experten in Sachen Sicherheit beziehungsweise IT-Security jedoch auch durch den Exploit EternalRomance. Microsoft behob die zugrundeliegenden Schwachstellen für ihre Betriebssysteme, darunter sogar die offiziell gar nicht mehr unterstützten Betriebssysteme Windows XP und Vista, durch das Sicherheits-Update MS17-010 https://technet.microsoft.com/…. Gerade im Falle von Unternehmen empfiehlt sich das Einspielen dieses Patches. Ist dies nicht möglich, empfehlen Experten in Sachen Sicherheit beziehungsweise IT-Security zumindest die Deaktivierung von SMBv1. Befindet sich „Petya“ nämlich einmal im internen Netzwerk, sucht – und findet – die Malware früher oder später die Domain Controller. Auch sammelt sie eine Liste aller Rechner im Netz, die dann gezielt infiziert werden – eine besonders unauffällige, nicht leicht zu erkennende Methode. Daneben kopiert sich der Trojaner gerne in das versteckte ADMIN$-Verzeichnis anderer Rechner. Klappt dies nicht, versucht die Malware sich am Zugriff auf die Windows Management Instrumentation Command-line (WMIC) – und startet sich auf diese Art und Weise auf dem Zielcomputer. Mittels eines Passwort-Dump-Tools erbeutet der Trojaner Windows-Anmeldeinformationen. Als Indikatoren einer Kompromittierung nennen Microsofts Sicherheitsexperten Befehlszeilen für Umgebungen mit Protokollierung. In Netzwerken beobachtet man zudem bestimmte Subnet-Scans in der Umgebung des TCP-Ports 139 und des TCP-Ports 445. Experten von Palo Alto Networks empfehlen daher die Sperrung des TCP-Ports 445.

Gegenmassnahme
Im Idealfall halten Benutzerinnen und Benutzer ihr System immer auf dem neuesten Stand. Auch empfiehlt sich – wie bereits erwähnt – die Deaktivierung von SMBv1. Das Microsoft Malware Protection Center (MMPC) rät Unternehmen außerdem zur Windows Defender Advanced Threat Protection (Windows Defender ATP) als Lösung zur Früherkennung sowie Beseitigung der Malware im Falle einer Kompromittierung. Im Falle von Organisationen empfiehlt sich zum effektiven Ausschluss von Malware auch der Einsatz von Device Guard. Darüber hinaus findet sich eine Vielzahl allgemeiner, doch effektiver Maßnahmen gegen Malware. So beispielsweise das Achten auf schadhafte Spam-Mails: Nicht selten getarnt als E-Mails von Unternehmen oder Einzelpersonen, ist es wichtig, die Ransomware nicht durch Klicken auf Links oder Anhänge freizusetzen. Ebenfalls unerlässlich ist die regelmäßige Installation von Sicherheitsupdates. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät von der Ausführung von Script-Dateien wie JavaScript, VisualBasicScript oder PowerShell-Script ab. Zudem empfehlenswert ist die Entfernung nicht zwingend benötigter Webbrowser Plug-ins wie beispielsweise Adobe Flash. Wird man tatsächlich Opfer einer Erpressung, raten Behörden grundsätzlich zur Verweigerung des Lösegelds. Stattdessen empfiehlt sich die Anzeige bei der Polizei. Zentrale erste Maßnahme ist aber immer das Isolieren befallener Systeme vom Netz – sei es durch Ziehen der Netzwerkstecker oder Abschalten der WLAN-Adapter.

Aktueller Workaround/Batchdatei bezüglich der Ransomware Petya für Ihre IT-Sicherheit:
@echo off
echo Administrative permissions required. Detecting permissions…
echo.
net session >nul 2>&1
if %errorLevel% == 0 (
if exist C:Windowsperfc (
echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
echo.
) else (
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:Windowsperfc
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:Windowsperfc.dll
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:Windowsperfc.dat
attrib +R C:Windowsperfc
attrib +R C:Windowsperfc.dll
attrib +R C:Windowsperfc.dat
echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
echo.
)
) else (
echo Failure: You must run this batch file as Administrator.
)
pause

Autor: Manojlo Mitrovic, System Engineer, Bison IT Services AG

Über die BitHawk AG

Bison IT Services schafft Lösungen für KMUs und Grossunternehmen, welche ihre Marktposition mit der IT zusätzlich stärken wollen. Unsere Kunden schätzen die enge und persönliche Zusammenarbeit und wissen, dass sie einen Partner an der Seite haben, der ihre Herausforderungen bis ins Detail versteht. Unser Antrieb besteht darin, die Wettbewerbsfähigkeit unserer Kunden zu erhöhen. Das bedeutet: Wir geben alles, um Ihren Nutzen zu steigern und so Ihre Kosten zu optimieren.

Die Bison IT Services mit Hauptsitz in Sursee beschäftigt rund 200 Mitarbeitende. Weitere Standorte befinden sich in Basel, Bern und Winterthur. Die Kernkompetenzen der Bison IT Services liegen in den Bereichen Consulting, Engineering und Operations von IT-Infrastrukturen.

Das Lösungsportfolio umfasst die Themen Netzwerk, Storage, Virtualisierung, Cloud Computing, Security, Unified Communications, Retail und Digital Signage Solutions. Qualifizierte Spezialisten in Software-, System- und Kommunikationstechnologie beraten Kunden im Hinblick auf eine langfristig sinnvolle und anpassungsfähige IT-Umgebung. Ein umfassender Service Desk und ein eigenes Repair Center garantieren höchste Verfügbarkeit und schnelle Reaktionszeiten.

Firmenkontakt und Herausgeber der Meldung:

BitHawk AG
Allee 1A
CH6210 Sursee
Telefon: +41 (58) 2260101
Telefax: +41 (58) 22600-50
http://www.bithawk.ch

Ansprechpartner:
Roland Marti
Head of Marketing
Telefon: +41 (58) 2260838
E-Mail: marketing@bison-its.ch
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.