Comp4U Ladeanimation

PetyaWrap - Erneuter Angriff eines Verschlüsselungstrojaners und wirksame Gegenmaßnahmen

Die Comp4U GmbH warnt dringend: Neuer hochwirksamer Verschlüsselungstrojaner PETYA greift Netzwerke an!

Ein neuer Angriff auf Computernetze war nur eine Frage der Zeit - seit einigen Tagen ist er da:
Der Verschlüsselungstrojaner PETYAWRAP ist wirksamer als alle seine Vorgänger und kann verheerende Schäden auslösen. Bitte lesen Sie diese Informationen und schützen Sie sich. Wir warnen dringend davor, diese Attacke nicht ernst zu nehmen und keine weiteren Schutzmaßnahmen zu ergreifen - dieser Wurm ist bösartiger als alles, was es bisher gab.

Wesentliches Merkmal der neuen Attacke: Der Wurm zielt vor allem auf die Verbreitung innerhalb von LANs ab, dazu benötigt er keine aktive Unterstützung eines Benutzers, also kein Klicken auf Mailanhänge oder Besuch von Webseiten. Die Verbreitung im Internet ist noch nicht völlig geklärt - Ursprung scheint ein gehacktes Update einer Buchhaltungssoftware gewesen zu sein. 

Bitte lesen Sie die Infos, verstehen Sie die Verbreitungswege und schützen Sie sich: 

Hier die wesentlichen Infos in Kürze

Woher kommt der Name PETYAWRAP: 
Bereits im Dezember vergangenen Jahres hat eine Schadsoftware unter dem Namen PETYA viel Unheil angerichtet. Der Kern der nun aufgetretenen Bedrohung ist nahezu identisch mit PETYA, nutzt aber weitere Techniken aus bekannter Malware und aus veröffentlichten Schwachstellen (Exploits). Diese „Verpackung“ mehrerer Trojaner wird Wrap genannt, daher PETYAWRAP.

Welche Techniken nutzt PETYAWRAP:
Wie bereits Wannacry ist PETYAWRAP ein Wurm, das heißt, die Software verbreitet sich alleine im Netzwerk weiter. Petyawrap kann sich selber im lokalen Netz kopieren und seine verteilten Kopien starten, ohne dass dazu die (ungewollte) Unterstützung eines Anwenders nötig ist. 

Wie GoldenEye verschlüsselt auch Petyawrap mit einem Schlüssel, den nur die Entwickler der Schadsoftware kennen und gegen Lösegeld herausgeben wollen. 

Wie bereits der originale Petya wird anschließend der Master Boot Record (MBR) der Festplatte verschlüsselt, so dass von dieser Festplatte nicht mehr gestartet werden kann. Das gilt daher auch für das bisher genutzte Hilfsmittel, die Festplatte in einen anderen PC umzubauen. 

Wie verbreitet sich PETYAWRAP: 

  • Zuerst einmal nutzt Petyawrap den bereits von Wannacry bekannten Exploit ‘EternalBLue’, einer eigentlich von der NSA entwickelten Zugangsmethode. Gegen diesen Teil von Petyawrap nützt es, die bekannten Patches gegen Wannacry installiert zu haben. 
  • Zweitens benutzt die Schadsoftware das Microsoft Tool PsExec, ein sogenannntes ‘Remote Execution Tool’, das eigentlich zum Ausführen von Programmen über das Netzwerk genutzt werden soll. Wird es hier auch, allerdings ungewollt. Wo bei Vorgängerattacken empfohlen wurde, dieses Tool einfach von allen Rechnern zu löschen, ist PETYAWRAP nun besser gerüstet: Es bringt das Programm im eigenen Code einfach mit. Gegen die Nutzung dieses Tools hilft nur, den ausführenden Account mit möglichst wenig Rechten (also keinen Administrator- oder äquivalenten Rechten) zu nutzen. 
  • Drittens liest PETYAWRAP den lokalen Speicher aus und versucht Passwörter zu finden um damit die eigenen Rechte auf dem aktuellen Rechner und weiteren Rechnern im Netzwerk zu erweitern. Das können bereits die Rechte zur Nutzung von Shares auf anderen PC’S oder Servern sein. Dieses ‘Password-Grabbing’ wird mit dem Tool LSADUMP durchgeführt, eigentlich Teil eines sog. Toolkits, der aber gleich mit im Code von PETYAWRAP verbreitet wird. 

Kann man gegen PETYAWRAP patchen?
Nein. 

Kann man sich gegen PETYAWRAP sicher schützen? 
Ja, wenn man aktuelle Security-Software nutzt:  Die Ausführung der einzelnen Programmteile kann von aktuellen Sicherheitsprogrammen verhindert werden. Entweder geschieht dies aufgrund der Tatsache, dass die Programmteile als Malware bekannt sind und ihre Ausführung nicht zugelassen wird. Zum anderen wird die Ausführung anderer Teile durch das Hinzufügen zur Liste der ‘potentiell ungewünschten Programme (PUA)’ verhindert.

Kann man sich gegen die Verschlüsselung schützen? 
Ja, wenn man aktuelle Security-Software nutzt. Viele Programme erkennen eine ungewollte Verschlüsselung und verhindern sie.

Verbreitet sich PETYAWRAP über das Internet? 
Ja und Nein: Eigentlich ist der Wurm, wenn er erstmal in einen LAN aktiv ist, ausschließlich auf die Verbreitung innerhalb dieses Netzes ausgelegt. Allerdings bedeutet das auch, das alle erreichbaren Links zu anderen Systemen genutzt werden können. Wenn Sie von Ihrem Heim-PC via VPN Ihr Firmennetz erreichen können oder umgekehrt, sind die jeweils anderen Netze genauso bedroht. Wenn Sie eine Quelle erreichen können, wird es der Wurm ebenfalls tun. Das Perfide an der Situation ist, dass der Wurm es nicht zufällig erkennt, sondern explizit danach sucht und es zu 100% findet. Das gilt leider auch für Links, die Sie eigentlich schon lange nicht mehr nutzen oder von denen Sie gar nicht wissen (z.B. für Systemwartung o.ä.)

Gibt es Phishing Mails mit PETYAWRAP? 
Bisher nicht. Aber das heißt nicht, dass damit alle Schutzmaßnahmen gegen Phishing unbeachtet bleiben können, Phishing ist weiterhin die Hauptattacke gegen Ihre Rechner. 

Was empfiehlt die Comp4U GmbH gegen diese Attacke: 
Wir raten Ihnen zur Nutzung aktuellster Sicherheitssoftware und empfehlen SOPHOS-Produkte. Lassen Sie sich von uns kostenlos beraten und nutzen Sie unsere große Erfahrung im IT-Sicherheitsbereich. Wir kennen die Angriffswege, erkennen Bedrohungen und beraten Sie zuverlässig. 

Im Rahmen unserer hochflexiblen und modularen Managed-Services ServicePLUS bieten wir Ihnen zum Beispiel die ständige Prüfung aller sicherheitsrelevanten Software- und Hardwaresysteme an: Sprechen Sie mit unseren IT-Experten und lassen sich zu unserem ServicePLUS und dem Gewinn an IT-Sicherheit informieren. Unsere EDV-Beratung ist im Rahmen der IT-Erstberatung für Sie kostenlos.

Nutzen Sie außerdem die Informationen auf unserer Website:

WannaCry: Informationen und Schutzmaßnahmen

Wie schütze ich mich wirksam gegen Ransomware?

IT-Systeme weltweit lahmgelegt - bitte dringend lesen

Weiterführende Informationen finden Sie auch auf der Website des Security-Spezialisten SOHPOS: https://nakedsecurity.sophos.com/2017/06/28/deconstructing-petya-how-it-spreads-and-how-to-fight-back/https://nakedsecurity.sophos.com/2017/06/28/new-petya-ransomware-all-you-wanted-to-know-but-were-afraid-to-ask/ 

 

---

Die Comp4U GmbH ist Ihr IT-Dienstleister für Frankfurt, Langen und das gesamte Rhein-Main-Gebiet!