Register for your free account! | Forgot your password?

Go Back   elitepvpers > News & More > In Other News
You last visited: Today at 23:22

  • Please register to post and access all features, it's quick, easy and FREE!

Advertisement



Petya Ransomware: Die Bedrohung aus dem Netz

Discussion on Petya Ransomware: Die Bedrohung aus dem Netz within the In Other News forum part of the News & More category.

Reply
 
Old   #1
Administrator
 
andii's Avatar
 
elite*gold: 25257
The Black Market: 154/0/0
Join Date: Aug 2013
Posts: 9,617
Received Thanks: 2,603
Petya Ransomware: Die Bedrohung aus dem Netz

Wir alle sind schon einmal auf die ein oder andere Weise mit Ransomwares in Berührung gekommen. Sei es durch den Freund, den es erwischt hat, der eigene PC, der infiziert wurde, oder einfach durch die Medien. Das Internet ist toll, es gibt unendlich viele Möglichkeiten, aber ebenso gibt es auch Gefahren. Erst vor kurzem machte die WannaCry-Ransomware die Runde durch das Internet. Auf seinem Weg hat das Schadprogramm ganze Firmen und sogar Krankenhäuser lahmgelegt. Der Ablauf ist bei Ransomwares immer ähnlich. Man lädt eine infizierte Datei aus dem Internet herunter. Wenn diese dann auf dem System ausgeführt wird, werden alle Dateien, die sich auf dem PC befinden verschlüsselt. Der Entschlüsselungscode liegt auf einem Server, der von den Erstellern der Ransomware geführt wird. Man bekommt die Aufforderung eine gewisse Geldsumme in BTC zu bezahlen. Sobald diese Transaktion durchgeführt wurde, werden in der Regel die Dateien wieder entschlüsselt. Natürlich gibt es auch dreiste Hacker, die das Geld einstreichen und eure Daten weiterhin verschlüsselt lassen. Die einzige Rettung ist oftmals, das System neu aufzusetzen. Dabei gehen natürlich Unmengen von Daten verloren. Wenn man sich das Ganze nun auf der Größe eines Krankenhauses vorstellt, wird man schnell realisieren, dass hier mit dem Leben von Menschen gespielt wird.


Nach WannaCry macht nun Petya die Runde. Um genau zu sein, ist Petya keine richtige Ransomware, sondern eine „Destructive Wiper Malware“. Es wurde zunächst als Ransomware gedeutet, da es sich auf den ersten Blick wie eine verhält. Schaut man sich das Schadprogramm aber genauer an, ist das eigentliche Ziel des Programms die Zerstörung aller Datensätze auf dem Computer des Opfers. Bereits infiziert wurden einige Computer in Russland, Ukraine, Indien und Amerika. Oftmals betroffen sind Geldautomaten. Der Gründer von Comea Technologies Matt Suiche hat sich bereits eine Meinung dazu gebildet, warum Petya als Ransomware getarnt wurde:
"We believe the ransomware was, in fact, a lure to control the media narrative, especially after the WannaCry incident, to attract the attention on some mysterious hacker group rather than a national state attacker,".
Petya verhält sich auch nicht ganz so, wie man es von Ransomwares gewöhnt ist. Es werden nicht alle Dateien gleichzeitig verschlüsselt, sondern der infizierte PC wird zunächst neu gestartet. Beim Neustart wird nun der MFT (Master File Table) der Festplatte verschlüsselt. Der Zugriff des MBR (Master Boot Record) wird unbrauchbar gemacht. Der Zugriff auf das ganze System wird anschließend noch beschränkt. Petya kopiert anschließend die verschlüsselte Version des MBR und ersetzt diesen durch eine eigene Nachricht.

Aktuell gibt es zwei Varianten der Petya „Ransomware“. Die erste Version kopiert die verschlüsselte Version des MBR und ersetzt diesen durch eine eigene Nachricht. Der PC ist anschließend nicht mehr fähig zu booten. Die zweite Variante ist noch einmal etwas fieser. Der MBR wird wieder durch diese Nachricht ersetzt, dieses Mal gibt es aber keine Kopie des MBR. Das bedeutet, dass auch mit dem Entschlüsselungscode der Computer nicht fähig sein wird zu booten. Wenn sich der infizierte Rechner in einem Netzwerk befindet, breitet sich die Malware rasch aus. Dabei verwendet sie den EternalBlue SMB Exploit, WMIC sowie PSEXEC Tools.

An diesem Punkt Achtung! Wenn ihr bereits Infiziert wurdet, bezahlt nicht den geforderten Betrag. Eure Dateien werden nach der Bezahlung nicht wieder entschlüsselt!

Es gibt bereits etwa 45 Opfer, die zusammen über $10.500 in Bitcoins bezahlt haben. Keiner von ihnen bekam seine Dateien zurück. Das liegt aber auch daran, dass der Deutsche E-Mail Provider die Adresse gesperrt hat, welche den Entschlüsselungscode versenden sollte. Ein Kommentar von Kaspersky Sicherheitsexperten:
"Our analysis indicates there is little hope for victims to recover their data. We have analyzed the high-level code of the encryption routine, and we have figured out that after disk encryption, the threat actor could not decrypt victims’ disks," the security firm said.
"To decrypt a victim’s disk threat actors need the installation ID. In previous versions of 'similar' ransomware like Petya/Mischa/GoldenEye this installation ID contained the information necessary for key recovery."
Nach dieser Aussage ist der Sinn hinter Petya die Zerstörung von Services auf der ganzen Welt. In Anbetracht dessen, was das Programm anrichten kann, haben die Entwickler ganze Arbeit geleistet. Das ist bis jetzt allerdings nur eine Vermutung. Der Virus wurde hauptsächlich in der Ukraine festgestellt. Dort infizierte er bereits das lokale Bahnnetz, Kievs Flughafen, Stromanbieter, die Zentralbank sowie die dortige Telecom.

Nach einigen Nachforschungen hat Petya seinen großen Ausbruch wahrscheinlich aus der ukrainischen Firma MeDoc. Der Virus wurde durch die dort bekannte Steuersoftware MeDoc verteilt. Ein Update verbreitete den Virus rasch auf vielen Computern. Die Firma hat sich dazu bereits auf Facebook geäußert und verneint diese Anschuldigung. Allerdings wurde bereits unter anderem von Microsoft bestätigt, dass der Virus durch MeDoc Updates verbreitet wurde.

Es gibt einige Möglichkeiten sich vor der Malware zu schützen. Als Erstes solltet ihr die Patches für EternalBlue (MS17-010) auf eurem System installieren. Im Normalfall sollte dies aber schon passiert sein. Als nächsten Schritt deaktiviert ihr das SMBv1 File-Sharing Protocol auf eurem System. Um noch weitere Sicherheit zu gewährleisten, könnt ihr auch WMIC (Windows Management Instrumentation Command-Line) deaktivieren.
Sollte es bereits zu spät sein, und ihr habt euch den Virus eingefangen, habt ihr noch eine letzte Möglichkeit eure Daten zu retten. Wenn der Computer rebootet, müsst ihr sofort den Stecker ziehen. Verwendet zum Booten eine Live-CD oder bootet über ein externes System.
"If machine reboots and you see this message, power off immediately! This is the encryption process. If you do not power on, files are fine." ‏HackerFantastic tweeted. "Use a LiveCD or external machine to recover files"
Aktuell gibt es auch einen Kill-Switch für Petya. Dafür müsst ihr lediglich eine Datei erstellen. Diese speichert ihr unter „C:\Windows“ ab und nennt sie perfc.-> „C:\Windows\perfc“ Die Datei darf keine Dateiendung haben und muss irgend einen Inhalt haben (egal welche) Anschließend gebt ihr der Datei noch Read-Only.

Zum Schluss gibt es nur noch zu sagen: Gebt Acht, was ihr im Internet tut. Wenn ihr seltsame Dateien per E-Mail, Skype oder sonst wo erhaltet, seid immer misstrauisch. Wenn es sich um etwas Ernstes handelt, wird sich die Person bestimmt noch einmal bei euch melden. Es ist es nicht wert, aus Unachtsamkeit seine gesamten Daten zu verlieren.
Attached Images
File Type: jpg maxresdefault.jpg (5.7 KB, 3 views)
andii is offline  
Thanks
3 Users
Old 06/29/2017, 23:17   #2



 
epvpers LUL's Avatar
 
elite*gold: 776
The Black Market: 193/0/0
Join Date: Jan 2011
Posts: 12,232
Received Thanks: 8,713
@
Was sagst du dazu, er zitiert einen Kaspersky-Experten. Nimm ihn auseinander!
epvpers LUL is offline  
Old 06/29/2017, 23:30   #3
 
elite*gold: 300
Join Date: Apr 2013
Posts: 3,234
Received Thanks: 1,205
Könnte ich nicht rein theoretisch das folgende direkt machen und währe von der aktuellen Version sicher?
"Aktuell gibt es auch einen Kill-Switch für Petya. Dafür müsst ihr lediglich eine Datei erstellen. Diese speichert ihr unter „C:\Windows“ ab und nennt sie perfc.-> „C:\Windows\perfc“."
#Saiirex is offline  
Old 06/30/2017, 06:57   #4
Administrator
 
andii's Avatar
 
elite*gold: 25257
The Black Market: 154/0/0
Join Date: Aug 2013
Posts: 9,617
Received Thanks: 2,603
Quote:
Originally Posted by #Saiirex View Post
Könnte ich nicht rein theoretisch das folgende direkt machen und währe von der aktuellen Version sicher?
"Aktuell gibt es auch einen Kill-Switch für Petya. Dafür müsst ihr lediglich eine Datei erstellen. Diese speichert ihr unter „C:\Windows“ ab und nennt sie perfc.-> „C:\Windows\perfc“."
Ja, kannst du direkt so machen. Da das allerdings jetzt soweit bekannt ist, bleibt halt nur die Frage, wann diese Lücke gepatcht wird.
andii is offline  
Old 06/30/2017, 09:19   #5


 
MisterInc's Avatar
 
elite*gold: 36
Join Date: Dec 2012
Posts: 518
Received Thanks: 100
Was genau macht der Kill-Switch? Und warum verhindert er den Encryptvorgang?
MisterInc is offline  
Old 06/30/2017, 09:37   #6
 
elite*gold: 100
Join Date: Apr 2008
Posts: 860
Received Thanks: 1,464
Der Kill-Switch könnte absichtlich vorhanden sein, um z.B. die zufällige Infektion eigner Infrastruktur zu verhindern oder eben die Verbreitung einzudämmen, falls es "außer Kontrolle" gerät. Wobei dieses "außer Kontrolle" geraten doch gerade das Chaos ist, was man sich mit einer solchen Malware erhofft ...

Andererseits kann es auch ein vergessenes Relikt aus Entwicklerzeiten sein. Irgendwann muss man das Ding ja auch mal testen. Klar VMs gehen auch, aber ein Angriff dieser Größe sollte man auch mal auf echter Hardware getestet haben. Und da ist das ständige Wiederherstellen der Disk wirklich lästig.
florian0 is offline  
Old 06/30/2017, 11:53   #7
 
.smooth's Avatar
 
elite*gold: 34
Join Date: Nov 2009
Posts: 2,353
Received Thanks: 680
Wird halt echt immer hässlicher das ist so traurig...
.smooth is offline  
Old 06/30/2017, 13:01   #8

 
BosniaWarlord's Avatar
 
elite*gold: 62
The Black Market: 307/0/1
Join Date: Feb 2014
Posts: 7,849
Received Thanks: 855
Es fängt aaannnn
BosniaWarlord is offline  
Old 06/30/2017, 14:41   #9
 
AncientPlayer's Avatar
 
elite*gold: 0
Join Date: Aug 2010
Posts: 384
Received Thanks: 179
Ziemlich nutzloser Artikel;
einfach nur irgendeine Datei zu erstellen wird euch NICHT helfen.

Ihr müsst denn killswitch entweder selber schreiben oder euch einen aus dem Internet kopieren.

Eine leere Datei macht logischerweise erstmal garnichts, auch wenn das dem techfremden Autor anscheinend nicht wirklich klargeworden ist.

Quote:
Originally Posted by BosniaWarlord View Post
Es fängt aaannnn
Dann nimm ne Aspirin. -.-
AncientPlayer is offline  
Old 06/30/2017, 17:13   #10
 
elite*gold: 10
Join Date: Jan 2012
Posts: 331
Received Thanks: 47
Quote:
Originally Posted by AncientPlayer View Post
Ziemlich nutzloser Artikel;
einfach nur irgendeine Datei zu erstellen wird euch NICHT helfen.

Ihr müsst denn killswitch entweder selber schreiben oder euch einen aus dem Internet kopieren.

Eine leere Datei macht logischerweise erstmal garnichts, auch wenn das dem techfremden Autor anscheinend nicht wirklich klargeworden ist.



Dann nimm ne Aspirin. -.-

Bist du dir sicher?
Laut wird nur benötigt. Die Batchdatei macht meines Wissens nicht viel mehr als in den Artikel beschrieben....
Ich bin jetzt nicht ganz techfremd und für mich ist nicht ganz logisch warum es nicht reichen kann eine einfache Datei zu erstellen? Freue mich aber auf die Erklärung.

Ich würde als Entwickler auch nicht unnötig mehr Aufwand in einen Killswitch stecken, wenn ich z.B. vorhabe ihn später kostenlos zu verteilen bzw. ich ihn eigentlich wieder entfernen wollte.
Bgzocker is offline  
Old 06/30/2017, 18:21   #11
Administrator
 
andii's Avatar
 
elite*gold: 25257
The Black Market: 154/0/0
Join Date: Aug 2013
Posts: 9,617
Received Thanks: 2,603
Quote:
Originally Posted by αи∂ιι View Post
Die Datei darf keine Dateiendung haben und muss irgend einen Inhalt haben (egal welche) Anschließend gebt ihr der Datei noch Read-Only.
Quote:
Originally Posted by AncientPlayer View Post
Ziemlich nutzloser Artikel;
einfach nur irgendeine Datei zu erstellen wird euch NICHT helfen.

Ihr müsst denn killswitch entweder selber schreiben oder euch einen aus dem Internet kopieren.

Eine leere Datei macht logischerweise erstmal garnichts, auch wenn das dem techfremden Autor anscheinend nicht wirklich klargeworden ist.
Ich hab das ganze mal passend ergänzt. Kannst du mir dann bitte noch erklären warum ein solcher Artikel nutzlos sei? Es geht dabei um Aufklärung. Außerdem ist die Erstellung der Datei nicht die einzige genannte Methode zur Absicherung.
Dein Beitrag wäre vielleicht dann hilfreich gewesen, wenn du direkt erklärt hättest, wie man den Killswitch erstellt. Aber da du anscheinend etwas "techfremd" bist, braucht man das ja nicht erwarten. Die Aussage einen Killswitch aus dem Internet zu ziehen ist keine gute Idee, gerade wo Petya rumgeht sollte man nicht irgendwelche fremden Dateien runterladen.
andii is offline  
Thanks
1 User
Old 06/30/2017, 22:02   #12


 
LostInDreams's Avatar
 
elite*gold: 0
The Black Market: 121/0/1
Join Date: Mar 2012
Posts: 1,773
Received Thanks: 279
Ich arbeite in einer Softwarefirma (Entwicklung von Lagersoftware)

Hatten heute ein Meeting, weil dies einen Kunden von uns erwischt hat (Namenhafter Hersteller von "Qualitäts" Tierfutter). Seit Dienstag stehen die zwei Lager in Deutschland, eins in Frankreich und eins in Afrika still.

Wir waren ein bisschen shockiert, da unser Kunde hier völlig vorbereitet war.. Als die Daten weg waren wurde deren EDV fristlos entlassen wurde uns mitgeteilt und es wurde von uns ein Angebot angefordert für die Wiederherstellung des Backups vom Dienstag.....

Hätte eigentlich nie gedacht mit sowas Bekanntschaft zu machen.... Naja..
LostInDreams is offline  
Old 07/02/2017, 13:01   #13

 
BosniaWarlord's Avatar
 
elite*gold: 62
The Black Market: 307/0/1
Join Date: Feb 2014
Posts: 7,849
Received Thanks: 855
Quote:
Originally Posted by AncientPlayer View Post
Ziemlich nutzloser Artikel;
einfach nur irgendeine Datei zu erstellen wird euch NICHT helfen.

Ihr müsst denn killswitch entweder selber schreiben oder euch einen aus dem Internet kopieren.

Eine leere Datei macht logischerweise erstmal garnichts, auch wenn das dem techfremden Autor anscheinend nicht wirklich klargeworden ist.



Dann nimm ne Aspirin. -.-
Hehe der war gut
BosniaWarlord is offline  
Old 07/03/2017, 10:30   #14

 
SayzAngel's Avatar
 
elite*gold: 2
The Black Market: 230/0/0
Join Date: May 2013
Posts: 4,413
Received Thanks: 820
Quote:
Originally Posted by LostInDreams View Post
Ich arbeite in einer Softwarefirma (Entwicklung von Lagersoftware)

Hatten heute ein Meeting, weil dies einen Kunden von uns erwischt hat (Namenhafter Hersteller von "Qualitäts" Tierfutter). Seit Dienstag stehen die zwei Lager in Deutschland, eins in Frankreich und eins in Afrika still.

Wir waren ein bisschen shockiert, da unser Kunde hier völlig vorbereitet war.. Als die Daten weg waren wurde deren EDV fristlos entlassen wurde uns mitgeteilt und es wurde von uns ein Angebot angefordert für die Wiederherstellung des Backups vom Dienstag.....

Hätte eigentlich nie gedacht mit sowas Bekanntschaft zu machen.... Naja..
Die EDV fristlos entlassen? Wow, selten so eine beschränkte Reaktion gesehen.
SayzAngel is offline  
Thanks
1 User
Old 07/03/2017, 12:52   #15


 
LostInDreams's Avatar
 
elite*gold: 0
The Black Market: 121/0/1
Join Date: Mar 2012
Posts: 1,773
Received Thanks: 279
Quote:
Originally Posted by SayzAngel View Post
Die EDV fristlos entlassen? Wow, selten so eine beschränkte Reaktion gesehen.
Das dachten wir uns auch. Man könnte die Dödel ja ihre Fehler im Nachhinein ausbaden lassen. Aber jetzt läuft unsere Wartungsabteilung rund, weil der Kunde natürlich eine Lösung fordert…..
LostInDreams is offline  
Reply

Tags
petya, ransomware, wannacry


Similar Threads Similar Threads
Ransomware Kozy.Jozy
12/18/2016 - Technical Support - 7 Replies
ich habe vor ner woche diesen ransomware virus eingefangen kozy.jozy dieser hat viele meiner dateien locked gibt es ein programm mit dem ich sie unlocke oder die alte datei wieder herstelle?
Rettungsdienst: Kein Netz, Netz aber kein Download? - Erste Hilfe Thread!
06/27/2015 - Smartphones - 4 Replies
In letzter Zeit steigt die Anzahl von Beschwerden im Netz von o2. Auch ich gehöre zu diesen Leuten, doch möchte ich euch Tipps und Tricks geben, wie ihr euer Empfang bzw. Download verbessern könnt, um mehr aus eurer Flat raus zu holen. Ich hoffe, ich kann euch mit meinem Thread helfen. Lasst trotz dessen ein Feedback da. Erste Hilfe Trotz gutem Netz und gutem Empfang habe ich ein langsamen Download (HSPA/+(3G)/LTE(4G): Woran könnte dies liegen & was kann ich dagegen machen? Dies...
Eltern im Netz vom Netz?
08/27/2012 - Quotes - 6 Replies
Endlich eingesehen was für Scheiße er geschrieben hat? Hoffen wir es...
Monstervorstellung aus dem Addon "Bedrohung durch das Unterreich" - Dungeons & Dragon
04/18/2012 - User Submitted News - 0 Replies
Im kommenden Addon "Bedrohung durch das Unterreich" des kostenlosen MMORPGs Dungeons & Dragons Online verschlägt es euch auf eine neue Welt. Klar, dass ihr euch hier auch Monstern stellen müsst, die ihr so nicht gesehen habt. Ihr solltet euch also auf grauenerrende Kreaturen einstellen, die euch alles abverlangen werden. Sogar Drachen werdet ihr begegnen, bevor ihr euch den finsteren Drow und ihrer Spinnengötting Lloth in einer unerbittlichen Schlacht um das Wohl des gesamten Multiversums...



All times are GMT +1. The time now is 23:22.


Powered by vBulletin®
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
SEO by vBSEO ©2011, Crawlability, Inc.
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Support | Contact Us | FAQ | Advertising | Privacy Policy | Terms of Service | Abuse
Copyright ©2024 elitepvpers All Rights Reserved.