Auf "Wannacry" folgt Erpressungstrojaner "Petya"

Auf "Wannacry" folgt Erpressungstrojaner "Petya"

28. Juni 2017 - Zahlreiche Unternehmen weltweit sollen von einer neuen Ransomware aus der "Petya"-Familie betroffen sein. Die Angreifer können so ganze Festplatten verschlüsseln und fordern von den Opfern für die Entschlüsselung ein Lösegeld von rund 300 US-Dollar in Form von Bitcoins.
Nach "Wannacry" treibt eine neue Ransomware ihr Unwesen. Unternehmen rund um den Globus sollen von entsprechenden Attacken betroffen sein. Einer Mitteilung von F-Secure zufolge handelt es sich bei der Ransomware um einen Erpressertrojaner aus der "Petya"-Familie. Die Ramsomware verhält sich wie ein Netzwerkwurm, wird über die gleiche SMB-Schwachstelle wie "Wannacry" verbreitet und macht sich dabei anscheinend das Externalblue Exploit zunutze, das von der NSA entwickelt und im Internet veröffentlicht wurde.

Konkret sollen die Rechner durch manipulierte Dateien infiziert werden, die eine neue Aufgabe anlegt, welche den Computer in einer Stunde zu einem Neustart veranlasst. Während die Nutzer nun auf diesen Neustart warten, durchsucht Petya das Netzwerk F-Secure zufolge nach potentiell zu infizierenden Systemen. Nachdem passende IP-Adressen gesammelt wurden, kopiert sich Petya mittels der SMB-Sicherheitslücke schliesslich auf den ausgewählten Computer. Beim Neustart des Computers wird während des Boot-Vorgangs in der Folge die Verschlüsselung ausgelöst und dem Nutzer die Erpressungsnachricht angezeigt. In dieser fordern die Angreifer ein Lösegeld von rund 300 US-Dollar in Form von Bitcoins. Rund 30 Opfer sollen dieser Forderung der Mitteilung zufolge bereits Folge geleistet haben. Ob die Entschlüsselung anschliessend aber auch tatsächlich stattgefunden hat, ist aber unklar. Weitere Details zum Ablauf einer Infektion durch "Petya" können dem untenstehenden Video entnommen werden.


Gemäss F-Secure werden durch "Petya" nicht nur ausgewählte Dateien, sondern ganze Festplatten verschlüsselt. Dadurch sind die Systeme bis zur Entfernung der Infektion kaum nutzbar. Die Angreifer sollen bei den Attacken deutlich professioneller vorgehen als die Angreifer bei "Wannacry". Deshalb sei die Ransomware auch schwerer aufzuhalten als "Wannacry".

F-Secure empfiehlt allen Windows-Nutzern, sich durch die Installation der Updates zu schützen und zusätzlich eingehende Verbindungen über den TCP-Port 445 zu blockieren. Auch wird dazu geraten, regelmässig Back-ups zu erstellen. (af)

Neuen Kommentar erfassen

Anti-Spam-Frage Vor wem mussten die sieben Geisslein aufpassen?
Antwort
Name
E-Mail
SPONSOREN & PARTNER