Wir alle sind schon einmal auf die ein oder andere Weise mit Ransomwares in Berührung gekommen. Sei es durch den Freund, den es erwischt hat, der eigene PC, der infiziert wurde, oder einfach durch die Medien. Das Internet ist toll, es gibt unendlich viele Möglichkeiten, aber ebenso gibt es auch Gefahren. Erst vor kurzem machte die WannaCry-Ransomware die Runde durch das Internet. Auf seinem Weg hat das Schadprogramm ganze Firmen und sogar Krankenhäuser lahmgelegt. Der Ablauf ist bei Ransomwares immer ähnlich. Man lädt eine infizierte Datei aus dem Internet herunter. Wenn diese dann auf dem System ausgeführt wird, werden alle Dateien, die sich auf dem PC befinden verschlüsselt. Der Entschlüsselungscode liegt auf einem Server, der von den Erstellern der Ransomware geführt wird. Man bekommt die Aufforderung eine gewisse Geldsumme in BTC zu bezahlen. Sobald diese Transaktion durchgeführt wurde, werden in der Regel die Dateien wieder entschlüsselt. Natürlich gibt es auch dreiste Hacker, die das Geld einstreichen und eure Daten weiterhin verschlüsselt lassen. Die einzige Rettung ist oftmals, das System neu aufzusetzen. Dabei gehen natürlich Unmengen von Daten verloren. Wenn man sich das Ganze nun auf der Größe eines Krankenhauses vorstellt, wird man schnell realisieren, dass hier mit dem Leben von Menschen gespielt wird.
Nach WannaCry macht nun Petya die Runde. Um genau zu sein, ist Petya keine richtige Ransomware, sondern eine „Destructive Wiper Malware“. Es wurde zunächst als Ransomware gedeutet, da es sich auf den ersten Blick wie eine verhält. Schaut man sich das Schadprogramm aber genauer an, ist das eigentliche Ziel des Programms die Zerstörung aller Datensätze auf dem Computer des Opfers. Bereits infiziert wurden einige Computer in Russland, Ukraine, Indien und Amerika. Oftmals betroffen sind Geldautomaten. Der Gründer von Comea Technologies Matt Suiche hat sich bereits eine Meinung dazu gebildet, warum Petya als Ransomware getarnt wurde:
Aktuell gibt es zwei Varianten der Petya „Ransomware“. Die erste Version kopiert die verschlüsselte Version des MBR und ersetzt diesen durch eine eigene Nachricht. Der PC ist anschließend nicht mehr fähig zu booten. Die zweite Variante ist noch einmal etwas fieser. Der MBR wird wieder durch diese Nachricht ersetzt, dieses Mal gibt es aber keine Kopie des MBR. Das bedeutet, dass auch mit dem Entschlüsselungscode der Computer nicht fähig sein wird zu booten. Wenn sich der infizierte Rechner in einem Netzwerk befindet, breitet sich die Malware rasch aus. Dabei verwendet sie den EternalBlue SMB Exploit, WMIC sowie PSEXEC Tools.
An diesem Punkt Achtung! Wenn ihr bereits Infiziert wurdet, bezahlt nicht den geforderten Betrag. Eure Dateien werden nach der Bezahlung nicht wieder entschlüsselt!
Es gibt bereits etwa 45 Opfer, die zusammen über $10.500 in Bitcoins bezahlt haben. Keiner von ihnen bekam seine Dateien zurück. Das liegt aber auch daran, dass der Deutsche E-Mail Provider die Adresse gesperrt hat, welche den Entschlüsselungscode versenden sollte. Ein Kommentar von Kaspersky Sicherheitsexperten:
Nach einigen Nachforschungen hat Petya seinen großen Ausbruch wahrscheinlich aus der ukrainischen Firma MeDoc. Der Virus wurde durch die dort bekannte Steuersoftware MeDoc verteilt. Ein Update verbreitete den Virus rasch auf vielen Computern. Die Firma hat sich dazu bereits auf Facebook geäußert und verneint diese Anschuldigung. Allerdings wurde bereits unter anderem von Microsoft bestätigt, dass der Virus durch MeDoc Updates verbreitet wurde.
Es gibt einige Möglichkeiten sich vor der Malware zu schützen. Als Erstes solltet ihr die Patches für EternalBlue (MS17-010) auf eurem System installieren. Im Normalfall sollte dies aber schon passiert sein. Als nächsten Schritt deaktiviert ihr das SMBv1 File-Sharing Protocol auf eurem System. Um noch weitere Sicherheit zu gewährleisten, könnt ihr auch WMIC (Windows Management Instrumentation Command-Line) deaktivieren.
Sollte es bereits zu spät sein, und ihr habt euch den Virus eingefangen, habt ihr noch eine letzte Möglichkeit eure Daten zu retten. Wenn der Computer rebootet, müsst ihr sofort den Stecker ziehen. Verwendet zum Booten eine Live-CD oder bootet über ein externes System.
Zum Schluss gibt es nur noch zu sagen: Gebt Acht, was ihr im Internet tut. Wenn ihr seltsame Dateien per E-Mail, Skype oder sonst wo erhaltet, seid immer misstrauisch. Wenn es sich um etwas Ernstes handelt, wird sich die Person bestimmt noch einmal bei euch melden. Es ist es nicht wert, aus Unachtsamkeit seine gesamten Daten zu verlieren.
Nach WannaCry macht nun Petya die Runde. Um genau zu sein, ist Petya keine richtige Ransomware, sondern eine „Destructive Wiper Malware“. Es wurde zunächst als Ransomware gedeutet, da es sich auf den ersten Blick wie eine verhält. Schaut man sich das Schadprogramm aber genauer an, ist das eigentliche Ziel des Programms die Zerstörung aller Datensätze auf dem Computer des Opfers. Bereits infiziert wurden einige Computer in Russland, Ukraine, Indien und Amerika. Oftmals betroffen sind Geldautomaten. Der Gründer von Comea Technologies Matt Suiche hat sich bereits eine Meinung dazu gebildet, warum Petya als Ransomware getarnt wurde:
"We believe the ransomware was, in fact, a lure to control the media narrative, especially after the WannaCry incident, to attract the attention on some mysterious hacker group rather than a national state attacker,".Petya verhält sich auch nicht ganz so, wie man es von Ransomwares gewöhnt ist. Es werden nicht alle Dateien gleichzeitig verschlüsselt, sondern der infizierte PC wird zunächst neu gestartet. Beim Neustart wird nun der MFT (Master File Table) der Festplatte verschlüsselt. Der Zugriff des MBR (Master Boot Record) wird unbrauchbar gemacht. Der Zugriff auf das ganze System wird anschließend noch beschränkt. Petya kopiert anschließend die verschlüsselte Version des MBR und ersetzt diesen durch eine eigene Nachricht.
Aktuell gibt es zwei Varianten der Petya „Ransomware“. Die erste Version kopiert die verschlüsselte Version des MBR und ersetzt diesen durch eine eigene Nachricht. Der PC ist anschließend nicht mehr fähig zu booten. Die zweite Variante ist noch einmal etwas fieser. Der MBR wird wieder durch diese Nachricht ersetzt, dieses Mal gibt es aber keine Kopie des MBR. Das bedeutet, dass auch mit dem Entschlüsselungscode der Computer nicht fähig sein wird zu booten. Wenn sich der infizierte Rechner in einem Netzwerk befindet, breitet sich die Malware rasch aus. Dabei verwendet sie den EternalBlue SMB Exploit, WMIC sowie PSEXEC Tools.
An diesem Punkt Achtung! Wenn ihr bereits Infiziert wurdet, bezahlt nicht den geforderten Betrag. Eure Dateien werden nach der Bezahlung nicht wieder entschlüsselt!
Es gibt bereits etwa 45 Opfer, die zusammen über $10.500 in Bitcoins bezahlt haben. Keiner von ihnen bekam seine Dateien zurück. Das liegt aber auch daran, dass der Deutsche E-Mail Provider die Adresse gesperrt hat, welche den Entschlüsselungscode versenden sollte. Ein Kommentar von Kaspersky Sicherheitsexperten:
"Our analysis indicates there is little hope for victims to recover their data. We have analyzed the high-level code of the encryption routine, and we have figured out that after disk encryption, the threat actor could not decrypt victims’ disks," the security firm said.Nach dieser Aussage ist der Sinn hinter Petya die Zerstörung von Services auf der ganzen Welt. In Anbetracht dessen, was das Programm anrichten kann, haben die Entwickler ganze Arbeit geleistet. Das ist bis jetzt allerdings nur eine Vermutung. Der Virus wurde hauptsächlich in der Ukraine festgestellt. Dort infizierte er bereits das lokale Bahnnetz, Kievs Flughafen, Stromanbieter, die Zentralbank sowie die dortige Telecom.
"To decrypt a victim’s disk threat actors need the installation ID. In previous versions of 'similar' ransomware like Petya/Mischa/GoldenEye this installation ID contained the information necessary for key recovery."
Nach einigen Nachforschungen hat Petya seinen großen Ausbruch wahrscheinlich aus der ukrainischen Firma MeDoc. Der Virus wurde durch die dort bekannte Steuersoftware MeDoc verteilt. Ein Update verbreitete den Virus rasch auf vielen Computern. Die Firma hat sich dazu bereits auf Facebook geäußert und verneint diese Anschuldigung. Allerdings wurde bereits unter anderem von Microsoft bestätigt, dass der Virus durch MeDoc Updates verbreitet wurde.
Es gibt einige Möglichkeiten sich vor der Malware zu schützen. Als Erstes solltet ihr die Patches für EternalBlue (MS17-010) auf eurem System installieren. Im Normalfall sollte dies aber schon passiert sein. Als nächsten Schritt deaktiviert ihr das SMBv1 File-Sharing Protocol auf eurem System. Um noch weitere Sicherheit zu gewährleisten, könnt ihr auch WMIC (Windows Management Instrumentation Command-Line) deaktivieren.
Sollte es bereits zu spät sein, und ihr habt euch den Virus eingefangen, habt ihr noch eine letzte Möglichkeit eure Daten zu retten. Wenn der Computer rebootet, müsst ihr sofort den Stecker ziehen. Verwendet zum Booten eine Live-CD oder bootet über ein externes System.
"If machine reboots and you see this message, power off immediately! This is the encryption process. If you do not power on, files are fine." HackerFantastic tweeted. "Use a LiveCD or external machine to recover files"Aktuell gibt es auch einen Kill-Switch für Petya. Dafür müsst ihr lediglich eine Datei erstellen. Diese speichert ihr unter „C:\Windows“ ab und nennt sie perfc.-> „C:\Windows\perfc“ Die Datei darf keine Dateiendung haben und muss irgend einen Inhalt haben (egal welche) Anschließend gebt ihr der Datei noch Read-Only.
Zum Schluss gibt es nur noch zu sagen: Gebt Acht, was ihr im Internet tut. Wenn ihr seltsame Dateien per E-Mail, Skype oder sonst wo erhaltet, seid immer misstrauisch. Wenn es sich um etwas Ernstes handelt, wird sich die Person bestimmt noch einmal bei euch melden. Es ist es nicht wert, aus Unachtsamkeit seine gesamten Daten zu verlieren.
