Verschlüsselung durch Update

Computer Service Neumann

Eine neue Welle eines Erpressungstrojaners ähnlich der letzten WannaCry-Variante geht um die Welt.
In diesem Fall wird eine politische Motivation vermutet, die gegen die Ukraine gerichtet ist.
Nach bisherigen Erkenntnissen verbreitet sich diese Variante nicht, wie bisherige Ransomwarevarianten, über Phishing-Mails oder ein Exploit-Kit sondern sie ist in einem Software-Update der ukrainischen Steuersoftware MeDoc enthalten.
Es ist momentan davon auszugehen, dass in erster Linie Unternehmens-Rechner Ziele dieses Angriffs sind, was nicht bedeutet, dass private Rechner nicht infiziert werden können.
offensichtlich gibt es einen ‚Kill-Switch‘ für den Trojaner.
Der Sicherheitsforscher Lawrence Adams hat eine Batch-Datei hierfür entwickelt um die Infektion eines Rechners im Vorfeld zu verhindern. Hierdurch werden bestimmte Dateien im Verzeichnis C:\Windows angelegt.
Der Inhalt der Batch-Datei lautet:

@echo off

echo Administrative permissions required. Detecting permissions…
echo.

net session >nul 2>&1

if %errorLevel% == 0 (
if exist C:\Windows\perfc (
echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
echo.
) else (
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat

attrib +R C:\Windows\perfc
attrib +R C:\Windows\perfc.dll
attrib +R C:\Windows\perfc.dat

echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
echo.
)
) else (
echo Failure: You must run this batch file as Administrator.
)

pause

 

(Fehlerhafte Änderungen am Dateisystem können zu Schäden am Rechner und zu Datenverlusten führen, beauftragen Sie im Zweifel einen Fachmann mit der Durchführung.) 

Da jedoch immer wieder neuere Versionen des Trojaners auftauchen können, ist dieser ‚Kill-Switch‘ nicht als absoluter Schutz zu verstehen. Achten Sie daher immer darauf das Betriebssystem mit den aktuellsten Sicherheitsupdates und ihren Virenschutz mit den aktuellsten Virensignaturen zu versehen.
Die sicherste Lösung bleibt nach wie vor das anlegen aktueller Backups die nicht mit dem Rechner/Netzwerk verbunden gelagert werden. Sollten Sie hierzu Fragen haben, berät Sie der EDV-Dienstleister Ihres Vertrauens.

Wer Hinweise darauf hat, dass ein System von ‚NotPetya‘ infiziert wurde, sollte dieses umgehend vom Strom trennen. Unter Umständen verhindern Sie so, dass Daten verschlüsselt werden. Schon verschlüsselte Festplatten sollte man aufbewahren. Mit etwas Glück entdecken Sicherheitsforscher nach einiger Zeit Fehler in der Verschlüsselung des Trojaners und es wird ein Werkzeug veröffentlicht, mit dem man seine Daten retten kann.

Was ein ‚Exploit Kit‘ ist und wie es funktioniert, können Sie in diesem Artikel nachlesen.

Quelle: www.heise.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert