Auf "Wannacry" folgt Erpressungstrojaner "Petya"

Zahlreiche Unternehmen weltweit sollen von einer neuen Ransomware aus der "Petya"-Familie betroffen sein. Die Angreifer können so ganze Festplatten verschlüsseln und fordern von den Opfern für die Entschlüsselung ein Lösegeld von rund 300 US-Dollar in Form von Bitcoins.
28. Juni 2017

     

Nach "Wannacry" treibt eine neue Ransomware ihr Unwesen. Unternehmen rund um den Globus sollen von entsprechenden Attacken betroffen sein. Einer Mitteilung von F-Secure zufolge handelt es sich bei der Ransomware um einen Erpressertrojaner aus der "Petya"-Familie. Die Ramsomware verhält sich wie ein Netzwerkwurm, wird über die gleiche SMB-Schwachstelle wie "Wannacry" verbreitet und macht sich dabei anscheinend das Externalblue Exploit zunutze, das von der NSA entwickelt und im Internet veröffentlicht wurde.


Konkret sollen die Rechner durch manipulierte Dateien infiziert werden, die eine neue Aufgabe anlegt, welche den Computer in einer Stunde zu einem Neustart veranlasst. Während die Nutzer nun auf diesen Neustart warten, durchsucht Petya das Netzwerk F-Secure zufolge nach potentiell zu infizierenden Systemen. Nachdem passende IP-Adressen gesammelt wurden, kopiert sich Petya mittels der SMB-Sicherheitslücke schliesslich auf den ausgewählten Computer. Beim Neustart des Computers wird während des Boot-Vorgangs in der Folge die Verschlüsselung ausgelöst und dem Nutzer die Erpressungsnachricht angezeigt. In dieser fordern die Angreifer ein Lösegeld von rund 300 US-Dollar in Form von Bitcoins. Rund 30 Opfer sollen dieser Forderung der Mitteilung zufolge bereits Folge geleistet haben. Ob die Entschlüsselung anschliessend aber auch tatsächlich stattgefunden hat, ist aber unklar. Weitere Details zum Ablauf einer Infektion durch "Petya" können dem untenstehenden Video entnommen werden.

Gemäss F-Secure werden durch "Petya" nicht nur ausgewählte Dateien, sondern ganze Festplatten verschlüsselt. Dadurch sind die Systeme bis zur Entfernung der Infektion kaum nutzbar. Die Angreifer sollen bei den Attacken deutlich professioneller vorgehen als die Angreifer bei "Wannacry". Deshalb sei die Ransomware auch schwerer aufzuhalten als "Wannacry".


F-Secure empfiehlt allen Windows-Nutzern, sich durch die Installation der Updates zu schützen und zusätzlich eingehende Verbindungen über den TCP-Port 445 zu blockieren. Auch wird dazu geraten, regelmässig Back-ups zu erstellen. (af)


Weitere Artikel zum Thema

Wannacry-Nachfolger infiziert erste Rechner

23. Mai 2017 - Eine neue Schadsoftware nutzt mehrere NSA-Exploits, greift offenbar vor allem Nutzer an, die noch nicht den Wannacry-Patch eingespielt haben und scheint aus dem Umfeld der Wannacry-Erpresser zu stammen.

Von Wannacry verschlüsselte Daten lassen sich entschlüsseln

22. Mai 2017 - Unter bestimmten Umständen lassen sich durch die Ransomware Wannacry verschlüsselte Daten wiederherstellen. Ein Sicherheitsforscher entwickelte dazu ein Tool, welches unter gewissen Umständen bei Nutzern von Windows XP, Windows 2003 und Windows 7 funktioniert.

Wannacry-Patch für Windows XP gab's schon vor der Attacke

21. Mai 2017 - Microsoft verfügte offenbar schon vor dem Angriff über ein Gegenmittel für das Zero-Day-Leck in Windows XP, lieferte den Patch aber nur an Kunden mit Support-Vertrag. Erst nachdem der Wannacry-Angriff bereits im Gange war, erfolgte die Freigabe für jedermann.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER