Logo Swiss IT Magazine
MEDIADATEN
ABONNIEREN
NEWSLETTER

Auf "Wannacry" folgt Erpressungstrojaner "Petya"

Zahlreiche Unternehmen weltweit sollen von einer neuen Ransomware aus der "Petya"-Familie betroffen sein. Die Angreifer können so ganze Festplatten verschlüsseln und fordern von den Opfern für die Entschlüsselung ein Lösegeld von rund 300 US-Dollar in Form von Bitcoins.
28. Juni 2017

     

Nach "Wannacry" treibt eine neue Ransomware ihr Unwesen. Unternehmen rund um den Globus sollen von entsprechenden Attacken betroffen sein. Einer Mitteilung von F-Secure zufolge handelt es sich bei der Ransomware um einen Erpressertrojaner aus der "Petya"-Familie. Die Ramsomware verhält sich wie ein Netzwerkwurm, wird über die gleiche SMB-Schwachstelle wie "Wannacry" verbreitet und macht sich dabei anscheinend das Externalblue Exploit zunutze, das von der NSA entwickelt und im Internet veröffentlicht wurde.


Konkret sollen die Rechner durch manipulierte Dateien infiziert werden, die eine neue Aufgabe anlegt, welche den Computer in einer Stunde zu einem Neustart veranlasst. Während die Nutzer nun auf diesen Neustart warten, durchsucht Petya das Netzwerk F-Secure zufolge nach potentiell zu infizierenden Systemen. Nachdem passende IP-Adressen gesammelt wurden, kopiert sich Petya mittels der SMB-Sicherheitslücke schliesslich auf den ausgewählten Computer. Beim Neustart des Computers wird während des Boot-Vorgangs in der Folge die Verschlüsselung ausgelöst und dem Nutzer die Erpressungsnachricht angezeigt. In dieser fordern die Angreifer ein Lösegeld von rund 300 US-Dollar in Form von Bitcoins. Rund 30 Opfer sollen dieser Forderung der Mitteilung zufolge bereits Folge geleistet haben. Ob die Entschlüsselung anschliessend aber auch tatsächlich stattgefunden hat, ist aber unklar. Weitere Details zum Ablauf einer Infektion durch "Petya" können dem untenstehenden Video entnommen werden.

Gemäss F-Secure werden durch "Petya" nicht nur ausgewählte Dateien, sondern ganze Festplatten verschlüsselt. Dadurch sind die Systeme bis zur Entfernung der Infektion kaum nutzbar. Die Angreifer sollen bei den Attacken deutlich professioneller vorgehen als die Angreifer bei "Wannacry". Deshalb sei die Ransomware auch schwerer aufzuhalten als "Wannacry".


F-Secure empfiehlt allen Windows-Nutzern, sich durch die Installation der Updates zu schützen und zusätzlich eingehende Verbindungen über den TCP-Port 445 zu blockieren. Auch wird dazu geraten, regelmässig Back-ups zu erstellen. (af)


Weitere Artikel zum Thema

Wannacry-Nachfolger infiziert erste Rechner

 23. Mai 2017 - Eine neue Schadsoftware nutzt mehrere NSA-Exploits, greift offenbar vor allem Nutzer an, die noch nicht den Wannacry-Patch eingespielt haben und scheint aus dem Umfeld der Wannacry-Erpresser zu stammen.

Von Wannacry verschlüsselte Daten lassen sich entschlüsseln

 22. Mai 2017 - Unter bestimmten Umständen lassen sich durch die Ransomware Wannacry verschlüsselte Daten wiederherstellen. Ein Sicherheitsforscher entwickelte dazu ein Tool, welches unter gewissen Umständen bei Nutzern von Windows XP, Windows 2003 und Windows 7 funktioniert.

Wannacry-Patch für Windows XP gab's schon vor der Attacke

 21. Mai 2017 - Microsoft verfügte offenbar schon vor dem Angriff über ein Gegenmittel für das Zero-Day-Leck in Windows XP, lieferte den Patch aber nur an Kunden mit Support-Vertrag. Erst nachdem der Wannacry-Angriff bereits im Gange war, erfolgte die Freigabe für jedermann.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
Im Spannungsfeld zwischen Innovationsgeist und Risikobereitschaft
Innovationen und Herausforderungen im digitalen Zeitalter
Unwetterwarnung!
Was tun als KMU, wenn die Attacken immer perfider werden?
Eine Cloud-Lösung kann Datensicherheit erhöhen
Advertorial

Eine Cloud-Lösung kann Datensicherheit erhöhen

In Rechenzentren sind weltweit grosse Datenmengen gespeichert, respektive auf Servern, die in Colocationsflächen kommerzieller Rechenzentrumsanbieter betrieben werden. Vergleicht man die Voraussetzungen mit Datenspeicherung im eigenen Unternehmen oder eigenem Rechenzentrum, so sind die Sicherheitsstandards in kommerziellen Rechenzentren höher. Cloud-Provider nutzen sichere Rechenzentrumsinfrastruktur und eine souveräne Cloud bietet hohen Datenschutz.
Schweizer Produktionsbetrieb bevorzugt gebrauchte Lizenzen
GOLD SPONSOREN
SPONSOREN & PARTNER