{"id":13773,"date":"2017-06-27T19:10:08","date_gmt":"2017-06-27T19:10:08","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=13773"},"modified":"2019-11-22T12:21:14","modified_gmt":"2019-11-22T10:21:14","slug":"neue-ransomware-angriffswelle-notpedya","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/neue-ransomware-angriffswelle-notpedya\/13773\/","title":{"rendered":"Neue Ransomware-Angriffswelle NotPetya"},"content":{"rendered":"<div>\n<p>Die Virenanalysten von Kaspersky Lab untersuchen derzeit die neue Ransomware-Angriffs-Welle, die es auf Organisationen weltweit abgesehen hat. Unsere vorl\u00e4ufigen Ergebnisse legen nahe, dass es sich hierbei nicht um eine Variante der <a href=\"https:\/\/www.kaspersky.de\/blog\/petya-ransomware\/7375\/\" target=\"_blank\" rel=\"noopener\">Petya-Ransomware<\/a> handelt, wie derzeit \u00f6ffentlich berichtet wird, sondern um eine neue Ransomware, die bisher noch nicht aufgetaucht ist. Daher nennen wir den Sch\u00e4dling \u201eNotPetya\u201c.\u00a0Die neue Malware unterscheidet sich unseren Analysten zufolge wesentlich von den bisher gekannten Petya-Versionen.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-13784\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2017\/06\/27200452\/wannamore-ransomware-featured1.jpg\" alt=\"\" width=\"1460\" height=\"960\"><\/p>\n<\/div>\n<div>\n<blockquote class=\"twitter-pullquote\"><p>Kaspersky-Statement und -Erkenntnisse zur aktuellen Ransomware-Angriffswelle #NotPetya<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2FVH8X&amp;text=Kaspersky-Statement+und+-Erkenntnisse+zur+aktuellen+Ransomware-Angriffswelle+%23NotPetya\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Die telemetrischen Daten von Kaspersky Lab deuten derzeit auf etwa 2.000 attackierte Nutzer hin. Organisationen aus Russland und der Ukraine sind am h\u00e4ufigsten betroffen. Wir haben zudem auch Treffer unter anderem in Deutschland, Frankreich, Gro\u00dfbritannien, Italien, Polen und den USA registriert.<\/p>\n<p>Die Attacke scheint komplex zu sein und beinhaltet verschiedene Angriffsvektoren. Wir k\u00f6nnen best\u00e4tigen, dass eine modifizierte EternalBlue Exploitl\u00fccke zur Verbreitung genutzt wird; zumindest bei Firmennetzwerken. (<a href=\"https:\/\/securelist.com\/expetrpetyanotpetya-is-a-wiper-not-ransomware\/78902\/\" target=\"_blank\" rel=\"noopener\">Hier finden sie mehr technische Daten der Attacke<\/a>)<\/p>\n<\/div>\n<div><\/div>\n<div>\n<p>Kaspersky Lab erkennt die Bedrohung unter den folgenden Bezeichnungen:<\/p>\n<ul>\n<li>Trojan-Ransom.Win32.ExPetr.a<\/li>\n<li>HEUR:Trojan-Ransom.Win32.ExPetr.gen<\/li>\n<li>UDS:DangerousObject.Multi.Generic (erkannt von Kaspersky Security Network)<\/li>\n<li>PDM:Trojan.Win32.Generic (erkannt vom Kaspersky-Modul System Watcher)<\/li>\n<li>PDM:Exploit.Win32.Generic (erkannt vomKaspersky-Modul System Watcher)<\/li>\n<\/ul>\n<p>Auch wird untersucht, ob eine M\u00f6glichkeit besteht, die verschl\u00fcsselten Daten wieder herzustellen \u2013 mit der Absicht schnellstm\u00f6glich ein Entschl\u00fcsselungstool zu entwickeln.<\/p>\n<h2>Empfehlungen f\u00fcr Unternehmen<\/h2>\n<\/div>\n<div>\n<p>F\u00fcr alle Unternehmenskunden empfehlen wir:<\/p>\n<ol>\n<li>Stellen Sie sicher, dass die Komponenten Kaspersky Security Network und System Watcher aktiviert sind.<\/li>\n<li>F\u00fchren Sie\u00a0<strong>umgehend\u00a0<\/strong>ein manuelles Update der Antiviren-Datenbank durch. Sie sollten diese in den n\u00e4chsten Stunden regelm\u00e4\u00dfig updaten.<\/li>\n<li>Installieren Sie alle Sicherheits-Updates von Windows. Das Update, welches den Fehler mit der Sicherheitsl\u00fccke EternalBlue geschlossen hat ist besonders wichtig.<\/li>\n<li>Als zus\u00e4tzlichen Schutz, nutzen Sie die <a href=\"https:\/\/help.kaspersky.com\/KESWin\/10SP2\/de-DE\/129102.htm\" target=\"_blank\" rel=\"noopener nofollow\">Kontrolle des Programmstarts<\/a>, eine Komponente der Kaspersky Endpoint Security, um allen Anwendungen den Zugriff (und die Interaktions- oder Ausf\u00fchrungsm\u00f6glichkeit) auf Dateien mit dem Namen perfc.dat zu verweigern und um zu verhindern, das Dienstprogramm PSExec auszuf\u00fchren (das Teil von Sysinternals Suite ist)<\/li>\n<li>Alternativ nutzen Sie die Komponente \u201e<a href=\"https:\/\/help.kaspersky.com\/KESWin\/10SP2\/de-DE\/129102.htm\" target=\"_blank\" rel=\"noopener nofollow\">Kontrolle des Programmstarts<\/a>\u201c der Kaspersky Endpoint Secutiry, um die Ausf\u00fchrung des Dienstprogrammes PSExec zu blockieren. Bitte nutzen Sie die <a href=\"https:\/\/help.kaspersky.com\/KESWin\/10SP2\/de-DE\/39265.htm\" target=\"_blank\" rel=\"noopener nofollow\">Aktivit\u00e4tskontrolle f\u00fcr Programme<\/a>, um perfc.dat zu blockieren.<\/li>\n<li>Konfigurieren und aktivieren Sie den Modus \u201eStandardm\u00e4\u00dfig blockieren\u201c in der Komponente \u201eKontrolle des Programmstarts\u201c von Kaspersky Endpoint Security, um eine proaktive Verteidigung gegen diese und andere Angriffe zu gew\u00e4hrleisten.<\/li>\n<li>Sie k\u00f6nnen auch das AppLocker-Feature nutzen, um die Ausf\u00fchrung von perfc.dat-Dateien und des Dienstprogrammes PSExec zu verhindern.<\/li>\n<\/ol>\n<p>Wir raten allen Unternehmen eingesetzte Windows-Software upzudaten, ihre Sicherheitsl\u00f6sungen zu \u00fcberpr\u00fcfen und zu gew\u00e4hrleisten, dass Back-ups sowie Ransomware-Entdeckung zum Einsatz kommen.<\/p>\n<h2>Empfehlungen f\u00fcr Privatkunden<\/h2>\n<p>Heimuser scheinen von der Bedrohung weniger betroffen zu sein als Unternehmen, an die die Cyberattacke haupts\u00e4chlich gerichtet ist. Trotzdem sollten Sie sich effektiv gegen Angriffe sch\u00fctzen:<\/p>\n<ol>\n<li>Sichern Sie Ihre Daten. In turbulenten Zeiten nie eine schlechte Wahl.<\/li>\n<li>Wenn Sie eine unserer Sicherheitsl\u00f6sungen verwenden, stellen Sie sicher, dass die Komponenten Kaspersky Security Network und System Watcher aktiviert sind.<\/li>\n<li>Updaten Sie Ihre Antivirus-Datenbank manuell. Am besten sofort! Es wird nicht lange dauern.<\/li>\n<\/ol>\n<p>Installieren Sie alle Sicherheitsupdates f\u00fcr Windows. Vor allem das Update, das L\u00fccken der Exploitl\u00fccke EternalBlue schlie\u00dft ist besonders wichtig. <a href=\"https:\/\/www.kaspersky.de\/blog\/wannacry-windows-update\/16593\/\" target=\"_blank\" rel=\"noopener\">Wie das funktioniert, erkl\u00e4ren wir hier<\/a>.<\/p>\n<p>\u00a0<\/p>\n<\/div>\n<p>Wie man auf heise.de lesen konnte, hat der E-Mail Anbieter Posteo eine Mailadresse gesperrt, die f\u00fcr den Angriffe genutzt wurde. Somit gibt es f\u00fcr die Opfer vorerst keine M\u00f6glichkeit die Cyberkriminellen zu kontaktieren. Wir empfehlen ohnehin, das L\u00f6segeld nicht zu zahlen.<\/p>\n<p>Und nicht nur das: Die Analyse unserer Experten zeigt, dass es f\u00fcr die Opfer nicht viel Hoffnung gibt Ihre Daten \u00fcberhaupt zur\u00fcckzugewinnen.<\/p>\n<p>Forscher von Kaspersky Lab haben den High-Level-Code der Verschl\u00fcsselungsroutine analysiert und festegestellt, dass der Angreifer nach der Festplattenverschl\u00fcsselung die Festplatten der Opfer nicht wieder entschl\u00fcsseln konnte. Zur Entschl\u00fcsselung wird die Installations-ID ben\u00f6tigt. In vorherhigen Versionen scheinbar \u00e4hnlicher Ransomware wie Petya\/Mischa\/GoldenEye enthielt diese Installations-ID die f\u00fcr die Schl\u00fcsselwiederherstellung notwendigen Informationen.<\/p>\n<p>ExPetr (aka Not Petya) verf\u00fcgt nicht \u00fcber diese Installations-ID. Das bedeutet, das der Verantwortliche f\u00fcr den Angriff die f\u00fcr die Entschl\u00fcsselung notwendige Information nicht extrahieren kann. Kurz gesagt: Opfer k\u00f6nnen Ihre Daten nicht zur\u00fcckbekommen.<\/p>\n<p>Das L\u00f6segeld der Ransomware zu zahlen macht also absolut keinen Sinn.<\/p>\n<div>\n<p><a href=\"https:\/\/www.kaspersky.de\/advert\/downloads\/thank-you\/internet-security-free-trial?redef=1&amp;THRU&amp;reseller=de_kdaily_acq_ona_smm__onl_b2c_kasperskydaily_ban____kis___\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-13781\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2017\/06\/27200037\/cyberattacks_1280-2701-1024x216-11.png\" alt=\"\" width=\"1024\" height=\"216\"><\/a><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Die Virenanalysten von Kaspersky Lab untersuchen derzeit die neue Ransomware-Angriffs-Welle, die es auf Organisationen weltweit abgesehen hat. Unsere vorl\u00e4ufigen Ergebnisse legen nahe, dass es sich hierbei nicht um eine Variante<\/p>\n","protected":false},"author":19,"featured_media":13774,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[1110,2572,1969,535,257],"class_list":{"0":"post-13773","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-crypto","9":"tag-notpedya","10":"tag-petya","11":"tag-ransomware","12":"tag-trojaner"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/neue-ransomware-angriffswelle-notpedya\/13773\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/ransomware\/","name":"Ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/13773","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/19"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=13773"}],"version-history":[{"count":14,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/13773\/revisions"}],"predecessor-version":[{"id":21026,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/13773\/revisions\/21026"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/13774"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=13773"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=13773"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=13773"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}