ProSoft Kompetenzen

IT-Systemhaus in Leipzig - Delitzsch - Dresden - Halle

AUFGEPASST: Petwrap/NonPetya legt Systeme lahm

Schadsoftware und die resultierenden Probleme

petwrap.jpg

In den letzten Monaten gibt es kaum einen Zeitraum in welchem keine neue Ransomware das Licht der Welt erblickt. Hacker und Kriminelle werden stetig raffinierter und skrupelloser bei ihren Machenschaften.

Kein Zusammenhang zu Petya

Durch die Bezeichnung könnte man auf die Idee kommen eine Verwandtschaft zu Petya aufzubauen. Viele Experten revidieren diese Annahme mittlerweile. Petwrap verfolgt das Ziel der Zerstörung aller Daten und nicht dem Erpressen von Lösegeld.

Bekannte Sicherheitslücke erneut ausgenutzt

Wie schon WannaCry hat sich auch Petwrap der »Eternalblue«-Sicherheitslücke bedient. Der NSA ist diese Sicherheitslücke schon seit Jahren bekannt, eine Meldung erfolgte aber nie. Im Gegensatz zu WannaCry wurde Petwrap weiterhin modifiziert, dadurch können Systeme angegriffen werden die erfolgreich gegen WannaCry gepatcht wurden.

Komplizierte Verschlüsselung

Auch wird eine andere Vorgehensweise bei der Verschlüsselung vorgenommen.
Es wird nicht Datei für Datei verschlüsselt, dieser Vorgang kann unter Umständen Stunden dauern.
Stattdessen startet Petwrap den Rechner einfach neu und verschlüsselt dabei den Bereich des MFT (Master File Table) auf der Festplatte wodurch der MBR (Master Boot Record) unbrauchbar wird.
Theoretisch sind alle Dateien noch vorhanden, doch eine Lokalisierung des Datenträger ohne diese Einträge ist unmöglich.

Alles nur eine Farce

Petwrap ersetzt den bestehenden MBR mit eigenem Code. Als Resultat erblickt man eine Aufforderung zur Bezahlung eines Lösegeldes (in Bitcoins und mit Zeitbeschränkung).
Die eigentliche Farce besteht nun darin, dass eine Bezahlung und Kontaktaufnahme (durch die bereitgestellte E-Mail) keinerlei Besserung bringen.
Für alle potenziellen Opfer existiert nur eine E-Mail.
Des Weiteren ist das Überschreiben des MBR nicht mehr rückgängig zu machen.
Die ID, die die Schadsoftware beim überschreiben erstellt, müsste theoretisch Daten über den befallenen PC enthalten. Leider ist dem nicht so, die ID wird rein zufällig bestimmt.
Im Umkehrschluss bedeutet das, die Erpresser wären nicht in der Lage die befallenen PC´s voneinander zu unterscheiden und einen passenden Key zur Entschlüsselung zu versenden. Das eigentliche Ziel besteht darin Dateien komplett zu vernichten, die Auflage des Lösegeldes ist nur Taktik und Ablenkung.

Vorbeugende Maßnahmen

Als Unternehmen sollten Sie stets Backups Ihrer Dateien anfertigen und parat haben. Zudem gibt es eine einfache Möglichkeit sich im Vorfeld zu schützen.
Erstellen Sie im Windows-Ordner die drei Dateien perfc, perfc.dll und perfc.dat und schützen Sie diese vor dem Überschreiben. Ebenso sollten stets Ihr Windows und Ihr Antiviren-Programm auf dem neusten Stand sein.

Betroffene Unternehmen (Stand 05.07.2017)

Die meisten betroffenen Unternehmen sind in der Ukraine ansässig und benutzen die Steuersoftware MeDoc.
Diese wurde von den Angreifern präpariert und ergänzt und verbreitet sich weiter rasend schnell. Doch auch andere Unternehmen, weltweit, sind betroffen. Die Verkettung findet über Tochterfirmen in der Ukraine bzw. Russland statt.
Prominentes Beispiel aus Deutschland ist die Firma Mondelez, zu ihr gehören unter anderem Milka, Oreo, Toblerone oder Philadelphia. Seit nunmehr über einer Woche stehen die Firmenaktivitäten still.
Die Option, die Software weiterhin zu modifizieren und einem noch größeren Kreis an Unternehmen zuzuspielen steigt unaufhörlich. Auch wenn Sie keine Tochterfirmen in den genannten Ländern haben schützt Sie das nur bedingt.
Halten Sie Ihre Systeme stets aktuell.

mehr...

INTEL SKYLAKE-X | KABY LAKE-X: PERFORMANCE-BOOST

Neue Intel Core Prozessoren der 7. Generation wurden gleichermaßen für Unternehmenskunden, Content-Gestalter und Gaming-Experten geschaffen. Intel frischt seine bestehenden Modelle mit einem Upgrade auf. Die Kaby Lake-X und Skylake-X Prozessoren erhalten ...

mehr...

NEUE AVM PRODUKTE: WLAN 4.0

Den Anfang macht dabei die AVM FRITZ!Box 7590.
Intelligentes WLAN für höchste kabellose Geschwindigkeit sowie bedeutend mehr Reichweite. Erleben Sie Internet, Telefonie und Multimedia mit dem High-End-WLAN-Produkt am IP-basierten Anschluss.
Für ...

mehr...

SAMSUNG: ANTWORT AUF MICROSOFT SURFACE

Das Samsung Galaxy Book 12 bringt hohe Anforderungen an Mobilität, Vielseitigkeit, Kompatibilität und Leistungsfähigkeit auf einen kompakten gemeinsamen Nenner.
Daher ist ...

mehr...