Go to Top

Neue Petya Ransomware macht verstörendes Debüt

Ransomware

Beginnend in den frühen 1990er Jahren und mit einem kurzen ersten Wiederauftreten im Frühjahr 2016, ist eine Variante der Petya (auch Petwrap) genannten Ransomware wieder aufgetaucht. Diesmal als Petya A oder NonPetya bezeichnet. Was über den jüngsten Angriff bisher bekannt wurde ist, dass Unternehmen, öffentliche Gesundheits- und Regierungsstellen sowie Flughäfen aus den USA, Russland, Ukraine, Deutschland, Frankreich, Italien, Polen und Großbritannien Opfer der neueren und robusteren Version wurden, die offensichtlich von der kürzlich stattgefundenen WannaCry Ransomware Attacke im Mai inspiriert worden ist. Mit dieser speziellen Ransomware verschlüsseln die Kriminellen nicht alle Dateien auf einem Computer, sondern greifen einen Teil des Betriebssystems an, der Master File Table (MFT) genannt wird, die dann den MBR (Master Boot Record) überschreibt. Ähnlich wie bei dem WannaCry-Ransomware-Angriff verlangt das Virus vom Opfer, ein digitales Lösegeld in Form von Bitcoins zu bezahlen, um die Kontrolle auf die Daten wiederzuerlangen.

Die Auswirkungen von Petya

Die MFT ist entscheidend für das System, damit es weiß,  wo die Dateien auf dem Computer zu finden sind. Deshalb hat die Ransomware die gleiche Wirkung, wie wenn jede Datei separat gesperrt worden wäre. Warum ist das bedeutsam? Es ist viel schneller die MTF anzugreifen als jede einzelne Datei separat zu verschlüsseln – was einen nahtlosen und sich schnell-verbreitenden Angriff möglich macht.

Laut den Forschern der Computer-Sicherheitsfirma Symantec verwendet der neue Angriff das gleiche Hacking-Tool (Eternal Blue), das ursprünglich von der National Security Agency (NSA) zur Bekämpfung der WannaCry Ransomware erstellt wurde. Das Tool wurde im vergangenen April durch eine Gruppe, die als Shadow Brokers bekannt war, geleakt.

Laut einem Forscher von Armor können die Petya-Angriffe weitaus schädlicher werden als die mit WannaCry. Es gibt keinen offensichtlichen Killswitch (Ausschaltmöglichkeit) bei diesem Virus, was sich als schwierig erwiesen hat, die Effekte abzumildern. Da diese Version von Petya deutlich verbesserte Features beinhaltet, wird erwartet, dass sie die neuesten und sogar gepatchten Windows-PCs, einschließlich Version 10, infiziert, während sich WannaCry in erster Linie auf ältere Systeme fokussierte.

Wenn man von Ransomware infiziert ist…

Auch mit den besten Vorsichtsmaßnahmen und Richtlinien ist es möglich, Opfer eines Angriffs zu werden. Für den Fall, dass Ihre Daten von einer Ransomware als Geisel gehalten werden, sollten Sie  folgende Ratschläge beachten:

  1. Bleiben Sie ruhig! Übereilte Entscheidungen könnten zu weiteren Datenverlusten führen. Wenn Sie zum Beispiel eine Ransomware-Infektion entdecken und abrupt die Stromversorgung zu einem Server kappen anstelle dass Sie ihn richtig herunterfahren, kann es sein, das Sie zusätzlich Daten – zu den bereits infizierten – verlieren.
  2. Überprüfen Sie Ihre aktuellsten Backups. Wenn diese intakt und up-to-date sind, wird die Datenwiederherstellung auf eine anderes System einfacher.
  3. Bezahlen Sie nie das Lösegeld, weil die Angreifer Ihre Daten eventuell nicht freischalten (können). Darüber haben wir bereits berichtet. Es gibt viele Fälle von Ransomware-Opfern, die das verlangte Lösegeld bezahlten und ihre Daten im Gegenzug nicht erhalten haben. Anstatt dieses Risiko einzugehen, sollten Unternehmen mit Datenrettungsexperten zusammenarbeiten, die eventuell in der Lage sein werden, den Zugriff auf die Daten durch Reverse Engineering der Malware hinzubekommen.
  4. Wenden Sie sich an einen Spezialisten, um Ratschläge zu bekommen und sich über Wiederherstellungsmöglichkeiten zu informieren. Wir können Ihren konkreten Fall  untersuchen, um zu sehen, ob wir bereits eine Lösung vorrätig haben oder ob wir in der Lage sind, eine solche schnellst möglichst zu entwickeln.

Bisher heute haben die Ingenieure bei Kroll Ontrack über 225 Varianten von Ransomware identifiziert, die Benutzergeräte infizieren. Und es gibt immer mehr Varianten, die jeden Tag neu erstellt und erkannt werden, sowie andere, die möglicherweise noch nicht erkannt wurden. Das Ingenieurteam von bei Kroll Ontrack arbeitet rund um die Uhr, um eine Lösung für jede Art von Ransomware zu identifizieren und zu finden. Es gibt also Hoffnung für all diejenigen, die mit Ransomware infiziert sind.

Bildnachweis: xuseru/pixabay.com/ CC0 Public Domain License