27 Jun 2017

Neue Ransomware-Angriffswelle NotPetya

Ausbruch Sicherheit

Die Virenanalysten von Kaspersky Lab untersuchen derzeit die neue Ransomware-Angriffs-Welle, die es auf Organisationen weltweit abgesehen hat. Unsere vorläufigen Ergebnisse legen nahe, dass es sich hierbei nicht um eine Variante der Petya-Ransomware handelt, wie derzeit öffentlich berichtet wird, sondern um eine neue Ransomware, die bisher noch nicht aufgetaucht ist. Daher nennen wir den Schädling „NotPetya“. Die neue Malware unterscheidet sich unseren Analysten zufolge wesentlich von den bisher gekannten Petya-Versionen.

Die telemetrischen Daten von Kaspersky Lab deuten derzeit auf etwa 2.000 attackierte Nutzer hin. Organisationen aus Russland und der Ukraine sind am häufigsten betroffen. Wir haben zudem auch Treffer unter anderem in Deutschland, Frankreich, Großbritannien, Italien, Polen und den USA registriert.

Die Attacke scheint komplex zu sein und beinhaltet verschiedene Angriffsvektoren. Wir können bestätigen, dass eine modifizierte EternalBlue Exploitlücke zur Verbreitung genutzt wird; zumindest bei Firmennetzwerken. (Hier finden sie mehr technische Daten der Attacke)

Kaspersky Lab erkennt die Bedrohung unter den folgenden Bezeichnungen:

  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen
  • UDS:DangerousObject.Multi.Generic (erkannt von Kaspersky Security Network)
  • PDM:Trojan.Win32.Generic (erkannt vom Kaspersky-Modul System Watcher)
  • PDM:Exploit.Win32.Generic (erkannt vomKaspersky-Modul System Watcher)

Auch wird untersucht, ob eine Möglichkeit besteht, die verschlüsselten Daten wieder herzustellen – mit der Absicht schnellstmöglich ein Entschlüsselungstool zu entwickeln.

Empfehlungen für Unternehmen

Für alle Unternehmenskunden empfehlen wir:

  1. Stellen Sie sicher, dass die Komponenten Kaspersky Security Network und System Watcher aktiviert sind.
  2. Führen Sie umgehend ein manuelles Update der Antiviren-Datenbank durch. Sie sollten diese in den nächsten Stunden regelmäßig updaten.
  3. Installieren Sie alle Sicherheits-Updates von Windows. Das Update, welches den Fehler mit der Sicherheitslücke EternalBlue geschlossen hat ist besonders wichtig.
  4. Als zusätzlichen Schutz, nutzen Sie die Kontrolle des Programmstarts, eine Komponente der Kaspersky Endpoint Security, um allen Anwendungen den Zugriff (und die Interaktions- oder Ausführungsmöglichkeit) auf Dateien mit dem Namen perfc.dat zu verweigern und um zu verhindern, das Dienstprogramm PSExec auszuführen (das Teil von Sysinternals Suite ist)
  5. Alternativ nutzen Sie die Komponente „Kontrolle des Programmstarts“ der Kaspersky Endpoint Secutiry, um die Ausführung des Dienstprogrammes PSExec zu blockieren. Bitte nutzen Sie die Aktivitätskontrolle für Programme, um perfc.dat zu blockieren.
  6. Konfigurieren und aktivieren Sie den Modus „Standardmäßig blockieren“ in der Komponente „Kontrolle des Programmstarts“ von Kaspersky Endpoint Security, um eine proaktive Verteidigung gegen diese und andere Angriffe zu gewährleisten.
  7. Sie können auch das AppLocker-Feature nutzen, um die Ausführung von perfc.dat-Dateien und des Dienstprogrammes PSExec zu verhindern.

Wir raten allen Unternehmen eingesetzte Windows-Software upzudaten, ihre Sicherheitslösungen zu überprüfen und zu gewährleisten, dass Back-ups sowie Ransomware-Entdeckung zum Einsatz kommen.

Empfehlungen für Privatkunden

Heimuser scheinen von der Bedrohung weniger betroffen zu sein als Unternehmen, an die die Cyberattacke hauptsächlich gerichtet ist. Trotzdem sollten Sie sich effektiv gegen Angriffe schützen:

  1. Sichern Sie Ihre Daten. In turbulenten Zeiten nie eine schlechte Wahl.
  2. Wenn Sie eine unserer Sicherheitslösungen verwenden, stellen Sie sicher, dass die Komponenten Kaspersky Security Network und System Watcher aktiviert sind.
  3. Updaten Sie Ihre Antivirus-Datenbank manuell. Am besten sofort! Es wird nicht lange dauern.

Installieren Sie alle Sicherheitsupdates für Windows. Vor allem das Update, das Lücken der Exploitlücke EternalBlue schließt ist besonders wichtig. Wie das funktioniert, erklären wir hier.

 

Wie man auf heise.de lesen konnte, hat der E-Mail Anbieter Posteo eine Mailadresse gesperrt, die für den Angriffe genutzt wurde. Somit gibt es für die Opfer vorerst keine Möglichkeit die Cyberkriminellen zu kontaktieren. Wir empfehlen ohnehin, das Lösegeld nicht zu zahlen.

Und nicht nur das: Die Analyse unserer Experten zeigt, dass es für die Opfer nicht viel Hoffnung gibt Ihre Daten überhaupt zurückzugewinnen.

Forscher von Kaspersky Lab haben den High-Level-Code der Verschlüsselungsroutine analysiert und festegestellt, dass der Angreifer nach der Festplattenverschlüsselung die Festplatten der Opfer nicht wieder entschlüsseln konnte. Zur Entschlüsselung wird die Installations-ID benötigt. In vorherhigen Versionen scheinbar ähnlicher Ransomware wie Petya/Mischa/GoldenEye enthielt diese Installations-ID die für die Schlüsselwiederherstellung notwendigen Informationen.

ExPetr (aka Not Petya) verfügt nicht über diese Installations-ID. Das bedeutet, das der Verantwortliche für den Angriff die für die Entschlüsselung notwendige Information nicht extrahieren kann. Kurz gesagt: Opfer können Ihre Daten nicht zurückbekommen.

Das Lösegeld der Ransomware zu zahlen macht also absolut keinen Sinn.