{"id":191753,"date":"2017-06-27T17:50:42","date_gmt":"2017-06-27T15:50:42","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=191753"},"modified":"2023-12-10T13:43:00","modified_gmt":"2023-12-10T12:43:00","slug":"achtung-petya-ransomware-befllt-weltweit-system","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/06\/27\/achtung-petya-ransomware-befllt-weltweit-system\/","title":{"rendered":"Achtung: Petya Ransomware bef&auml;llt weltweit Systeme"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Der Verschl\u00fcsselungstrojaner Petya wird wohl in einer neuen Kampagne verteilt und bef\u00e4llt weltweit Systeme von Firmen und Beh\u00f6rden. Man spricht von WannaCry-Ausma\u00dfen.<\/p>\n<p><!--more--><\/p>\n<h2>Neue PetyaWrap-Variante zielt auf SMBv1<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/43df866e32f54811b4844a42c138d069\" alt=\"\" width=\"1\" height=\"1\" \/>Erste Berichte kommen aus Russland \u2013 die Nachrichtenagentur TASS hat <a href=\"http:\/\/tass.com\/world\/953528\" target=\"_blank\" rel=\"noopener\">hier<\/a> einen englischsprachigen Bericht. Demnach sind Systeme von Firmen in Russland und in der Ukraine unter den angegriffenen Zielen. In <a href=\"https:\/\/twitter.com\/GroupIB_GIB\/status\/879687387235971073\" target=\"_blank\" rel=\"noopener\">diesem Tweet<\/a> findet sich der gleiche Hinweis.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">A new <a href=\"https:\/\/twitter.com\/hashtag\/WannaCry?src=hash\">#WannaCry<\/a>-like massive attack on Russian and Ukrainian <a href=\"https:\/\/twitter.com\/hashtag\/Critical?src=hash\">#Critical<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Infrastructue?src=hash\">#Infrastructue<\/a> discovered. More countries expected <a href=\"https:\/\/twitter.com\/hashtag\/Petya?src=hash\">#Petya<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/infosec?src=hash\">#infosec<\/a> <a href=\"https:\/\/t.co\/hRDPHKAC8R\">pic.twitter.com\/hRDPHKAC8R<\/a><\/p>\n<p>\u2014 Group-IB (@GroupIB_GIB) <a href=\"https:\/\/twitter.com\/GroupIB_GIB\/status\/879687387235971073\">27. Juni 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Bei <a href=\"http:\/\/thehackernews.com\/2017\/06\/petya-ransomware-attack.html\" target=\"_blank\" rel=\"noopener\">The Hacker News<\/a> gibt man an, dass weltweites Chaos herrsche und Systeme von Firmen, Banken, und Energieversorgern in Russland, der Ukraine, in Spanien, Frankreich, Gro\u00dfbritannien (Werbefirma WPP), Indien und in weiteren europ\u00e4ischen L\u00e4ndern befallen seien. Einem <a href=\"http:\/\/www.ndr.de\/nachrichten\/hamburg\/Computerattacke-trifft-wohl-auch-Beiersdorf-,beiersdorf226.html\" target=\"_blank\" rel=\"noopener\">NDR-Bericht<\/a> nach, ist die Beiersdorf AG (Nivea) in der Firmenzentrale von der Ransomware betroffen.<\/p>\n<p><strong>Update:<\/strong> Laut <a href=\"https:\/\/www.theverge.com\/2017\/6\/27\/15879480\/petrwrap-virus-ukraine-ransomware-attack-europe-wannacry\" target=\"_blank\" rel=\"noopener\">diesem Bericht<\/a> weiten sich die Infektionen aus. Die Zentralbank der Ukraine, deren Telekom, der Flughafen in Kiew, Metros, das Atomkraftwerk in Tschernobyl, die russische Firma Rosneft, das russische Transportunternehmen Damco und das d\u00e4nische Schifffahrtsunternehmen Maersk sind betroffen. Weiterhin fallen Geldautomaten (ATM) (<a href=\"https:\/\/twitter.com\/banksterslayer\/status\/879771186053263360\" target=\"_blank\" rel=\"noopener\">siehe<\/a>) und Kassensysteme (PoS) wohl aus. In den USA sind wohl Merk (Pharma) und die Anwaltsfirma <a href=\"https:\/\/twitter.com\/ericgeller\/status\/879738598244835328\" target=\"_blank\" rel=\"noopener\">DLA Piper<\/a> betroffen. Weiterhin sind Mars (S\u00fc\u00dfigkeiten) und der franz\u00f6sische Einzelh\u00e4ndler Auchan unter den bisher rund 80 betroffenen Firmen (<a href=\"https:\/\/web.archive.org\/web\/20170627165405\/http:\/\/www.heute.de\/hackerangriff-legt-europaweit-computer-lahm-schwerpunkt-offenbar-in-der-ukraine-47460520.html\" target=\"_blank\" rel=\"noopener\">siehe<\/a>).<\/p>\n<p>Bitdefender hat <a href=\"https:\/\/twitter.com\/Bitdefender\/status\/879702827400024066\" target=\"_blank\" rel=\"noopener\">diesen Tweet<\/a> sowie einen fortlaufend <a href=\"https:\/\/web.archive.org\/web\/20201203201404\/https:\/\/labs.bitdefender.com\/2017\/06\/massive-goldeneye-ransomware-campaign-slams-worldwide-users\/?utm_source=SMGlobal&amp;utm_medium=Twitter&amp;utm_campaign=labs\" target=\"_blank\" rel=\"noopener\">aktualisierten Blog-Beitrag<\/a> zum Thema ver\u00f6ffentlicht. Auch von Eset liegt mir eine Stellungnahme vor.<\/p>\n<blockquote><p>Zur Verbreitung scheint sie eine Kombination aus einem SMB Exploit (EternalBlue), wie er auch bei WannaCry zum Einsatz kam, zu verwenden. So verschafft sie sich Zugriff auf das Netzwerk, wo sie sich durch PsExec weiter verbreitet. Diese gef\u00e4hrliche Kombination ist wahrscheinlich der Grund f\u00fcr die schnelle und globale Ausbreitung \u2013 obwohl das mediale Interesse nach vorherigen Ausbr\u00fcchen hoch war und die meisten Sicherheitsl\u00fccken hoffentlich beseitigt wurden. Nur ein einziger ungesicherter Computer reicht aus, damit sich die Ransomware Zutritt zum Netzwerk verschaffen kann. Die Malware kann sich dann Administratoren-Rechte erteilen und andere Computer befallen.<\/p>\n<p>Ursprung der Ausbreitung scheint die Ukraine zu sein. Ersten Berichten nach sind Unternehmen aus dem Finanz- und Energiewesen sowie zahlreiche andere Industrien betroffen. Die Auswirkungen des Schadens f\u00fcr den Energiebereich sind noch nicht abzusehen, bisher gibt es keine Berichte \u00fcber Stromausf\u00e4lle.<\/p><\/blockquote>\n<p>Das Team von Eset f\u00fchrt in <a href=\"https:\/\/web.archive.org\/web\/20220505203152\/https:\/\/www.welivesecurity.com\/deutsch\/2017\/06\/27\/neue-wannacryptor-ahnliche-ransomware-trifft-die-ukraine\/\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> die Informationen zusammen und aktualisiert diese.<\/p>\n<p>Laut diversen Quellen nutzt die neue Petya Ransomware-Variante, die den Namen Petwrap erhalten hat, die von WannaCry bekannten ETERNALBLUE-Mechanismen zur Ausbreitung. \u00dcber ungepatchte Windows SMBv1-Sicherheitsl\u00fccken kann die Ransomware sich in Unternehmensnetzwerken ausbreiten. Es gibt aber wohl weitere Angriffsvektoren (siehe unten)<\/p>\n<p>Heute morgen hatte ich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2017\/06\/27\/sicherheitsinfos-wannacry-locky-hacks-und-mehr\/\">Sicherheitsinfos: WannaCry, Locky, Hacks und mehr<\/a> darauf hingewiesen, dass einen Monat nach WannaCry neue Infektionen (z.B. bei Honda in der Produktion) auftraten. Es gibt also offenbar eine Menge ungepatchte Systeme mit SMBv1-Sicherheitsl\u00fccken. Die Suchmaschine Shodan wirft fast 2 Millionen Systeme aus (siehe folgende Karte \u2013 via <a title=\"https:\/\/twitter.com\/sudo_fez\/status\/879714372536459264\" href=\"https:\/\/twitter.com\/sudo_fez\/status\/879714372536459264\" target=\"_blank\" rel=\"noopener\">Twitter<\/a>).<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/pbs.twimg.com\/media\/DDVfjrQWsAAf11o.jpg:large\" width=\"558\" height=\"476\" \/><\/p>\n<h2>So arbeitet PetyaWrap<\/h2>\n<p>\u00dcber die Petya-Ransomware hatte ich mehrfach berichtet (z.B. <a href=\"https:\/\/borncity.com\/blog\/2016\/05\/15\/ransomware-alarm-petya-kommt-mit-mischa-im-beipack\/\">Ransomware-Alarm: Petya kommt mit Mischa im Beipack<\/a>). Bei einem befallenen Computer werden keine Dateien verschl\u00fcsselt. Vielmehr bootet der Sch\u00e4dling das System neu und verschl\u00fcsselt die Master File Table (MFT) der Festplatte. Damit kann nicht mehr auf das Laufwerk bzw. dessen Informationen zugegriffen werden. Anschlie\u00dfend wird eine entsprechende Meldung f\u00fcr den Benutzer angezeigt, wie man in <a href=\"https:\/\/twitter.com\/gargyrakis\/status\/879720118493818880\" target=\"_blank\" rel=\"noopener\">diesem Tweet<\/a> sehen kann.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Huge Global <a href=\"https:\/\/twitter.com\/hashtag\/CyberAttack?src=hash\">#CyberAttack<\/a> \/ <a href=\"https:\/\/twitter.com\/hashtag\/Ransomware?src=hash\">#Ransomware<\/a> spreading right now. Its a <a href=\"https:\/\/twitter.com\/hashtag\/Petya?src=hash\">#Petya<\/a> variant that spreads through SMB and <a href=\"https:\/\/twitter.com\/hashtag\/EternalBlue?src=hash\">#EternalBlue<\/a> exploit. <a href=\"https:\/\/t.co\/fjP60jS6p9\">pic.twitter.com\/fjP60jS6p9<\/a><\/p>\n<p>\u2014 George Argyrakis (@gargyrakis) <a href=\"https:\/\/twitter.com\/gargyrakis\/status\/879720118493818880\">27. Juni 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Auch <a href=\"https:\/\/twitter.com\/Avira\/status\/879696783047352320\" target=\"_blank\" rel=\"noopener\">dieser Tweet<\/a> von Avira best\u00e4tigt den Angriff von PetyaWrap unter Verwendung von ETERNALBLUE:<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">The <a href=\"https:\/\/twitter.com\/hashtag\/Petya?src=hash\">#Petya<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash\">#ransomware<\/a> is back using the <a href=\"https:\/\/twitter.com\/hashtag\/EternalBlue?src=hash\">#EternalBlue<\/a> exploit &#8211; and our <a href=\"https:\/\/twitter.com\/hashtag\/Antivirus?src=hash\">#Antivirus<\/a> customers are protected! <a href=\"https:\/\/twitter.com\/hashtag\/infosec?src=hash\">#infosec<\/a> <a href=\"https:\/\/t.co\/fWap1rRLeA\">pic.twitter.com\/fWap1rRLeA<\/a><\/p>\n<p>\u2014 Avira (@Avira) <a href=\"https:\/\/twitter.com\/Avira\/status\/879696783047352320\">27. Juni 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Laut Avira sind deren Kunden gesch\u00fctzt. Erscheint der Text:<\/p>\n<blockquote><p>\"If you see this text, then your files are no longer accessible, because they are encrypted. Perhaps you are busy looking for a way to recover your files, but don't waste your time. Nobody can recover your files without our decryption service.\"<\/p><\/blockquote>\n<p>Die Ransomware fordert dann den Gegenwert von 300 US $ in Bitcoins. Aktuell erkennen, laut Virus Total nur <span style=\"text-decoration: line-through;\">16 <\/span>31 von 61 Antivirusprodukten (Tendenz schnell steigend) diesen Sch\u00e4dling.<\/p>\n<p>Update: Diesem Tweet zufolge, verwendet PetyaWrap nach einer Infektion <em>psexec, <\/em>um sich mit den Sicherheitscredentials der Benutzer im Netzwerk anzumelden.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Petya using authentication re-use on systems -&gt; that means more than just exploit being used for spreading.<\/p>\n<p>This will be bad for folks.<\/p>\n<p>\u2014 Dave Kennedy (ReL1K) (@HackingDave) 27. Juni 2017<\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Zudem habe ich gesehen, dass auch WMIC zur Verbreitung verwendet wird. Weiteren Tweets von Dave Kennedy nach zu urteilen, verwendet PetyaWrap weitere Angriffsmethoden, so dass das Patchen von ms17-010 wohl nicht ausreicht. Er schl\u00e4gt vor, administrative Freigaben per Gruppenrichtlinien zu deaktivieren.<\/p>\n<h2>Was kann man tun?<\/h2>\n<p>Erste Ma\u00dfnahme w\u00e4re (neben den Hinweisen im vorherigen Absatz), die ungepatchten Systeme vom Netz zu trennen und dann zeitnah die betreffenden Updates einzuspielen. Das BSI hat <a href=\"https:\/\/web.archive.org\/web\/20190527215028\/https:\/\/www.bsi.bund.de\/DE\/Presse\/Pressemitteilungen\/Presse2017\/PM_petya_global_27062017.html\" target=\"_blank\" rel=\"noopener\">hier<\/a> die Infos zu den Patches verlinkt.\u00a0 Zudem sollte gepr\u00fcft werden, ob die in der Organisation verwendete Sicherheitssoftware den Sch\u00e4dling erkennt.<\/p>\n<p>Weiterhin sollten Unternehmen und Beh\u00f6rden eine Warnung an Mitarbeiter herausgeben, da die Prim\u00e4rinfektion vermutlich per Mail-Anhang erfolgt. Sowohl bei <a href=\"http:\/\/thehackernews.com\/2017\/06\/petya-ransomware-attack.html\" target=\"_blank\" rel=\"noopener\">The Hacker News<\/a> (Englisch) als auch <a href=\"https:\/\/www.heise.de\/security\/meldung\/Rueckkehr-von-Petya-Kryptotrojaner-legt-weltweit-Firmen-und-Behoerden-lahm-3757047.html\" target=\"_blank\" rel=\"noopener\">bei heise.de<\/a> gibt es Artikel.<\/p>\n<p>\u00dcbrigens: Der Anbieter Posteo hat die E-Mail-Adressen der Petya-Angreifer laut <a href=\"https:\/\/posteo.de\/blog\/info-zur-ransomware-petrwrappetya-betroffenes-postfach-bereits-seit-mittag-gesperrt\" target=\"_blank\" rel=\"noopener\">dieser Mitteilung<\/a> und <a href=\"https:\/\/www.heise.de\/security\/meldung\/Petya-Attacke-Posteo-sperrt-E-Mail-Adresse-der-Angreifer-3757283.html\" target=\"_blank\" rel=\"noopener\">diesem heise.de-Artikel<\/a> gesperrt. Damit entf\u00e4llt wohl die M\u00f6glichkeit, die Erpresser zu kontaktieren.<\/p>\n<h2>Killswitch gefunden?<\/h2>\n<p>Es geht der Hinweis um, dass man durch anlegen einer Datei die Infektion eines Rechners verhindern k\u00f6nne. Weitere Details finden sich im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2017\/06\/28\/neues-zur-petya-ransomware-killswitch-gefunden\/\">Neues zur Petya Ransomware \u2013 Killswitch gefunden?<\/a><\/p>\n<h2>AV-Produkte, die den Sch\u00e4dling erkennen<\/h2>\n<p>Ad-Aware Trojan.Ransom.GoldenEye.B<\/p>\n<p>Avira (no cloud) TR\/Rogue.airfqba<\/p>\n<p>BitDefender\u00a0 Trojan.Ransom.GoldenEye.B<\/p>\n<p>CrowdStrike Falcon (ML)\u00a0 malicious_confidence_100% (W)<\/p>\n<p>Cyren W32\/Petya.VUNZ-1981<\/p>\n<p>DrWeb\u00a0 Trojan.Encoder.12544<\/p>\n<p>Emsisoft\u00a0 Trojan-Ransom.GoldenEye (A)<\/p>\n<p>Endgame malicious (high confidence)<\/p>\n<p>ESET-NOD32 Win32\/Diskcoder.C<\/p>\n<p>F-Prot W32\/Petya.Ransom.J<\/p>\n<p>Fortinet W32\/Ransom.EOB!tr<\/p>\n<p>GData Trojan.Ransom.GoldenEye.B<\/p>\n<p>Ikarus Trojan-Ransom.Petrwrap<\/p>\n<p>K7AntiVirus Trojan ( 0001140e1 )<\/p>\n<p>K7GW Trojan ( 0001140e1 )<\/p>\n<p>Kaspersky UDS:DangerousObject.Multi.Generic<\/p>\n<p>Malwarebytes Ransom.Petya<\/p>\n<p>McAfee Ransomware-GCC!71B6A493388E<\/p>\n<p>McAfee-GW-Edition Artemis!Trojan<\/p>\n<p>eScan Trojan.Ransom.GoldenEye.B<\/p>\n<p>Palo Alto Networks (Known Signatures) generic.ml<\/p>\n<p>Panda Trj\/CryptoPetya.B<\/p>\n<p>Qihoo-360 Trojan.Generic<\/p>\n<p>Sophos Troj\/Ransom-EOB<\/p>\n<p>Symantec ML.Attribute.HighConfidence<\/p>\n<p>Tencent Win32.Trojan.Ransomware.Skuo<\/p>\n<p>TrendMicro Ransom_PETYA.TH627<\/p>\n<p>TrendMicro-HouseCall Ransom_PETYA.TH627<\/p>\n<p>VBA32 TrojanRansom.Filecoder<\/p>\n<p>Webroot W32.Ransomware.Petrwrap<\/p>\n<p>ZoneAlarm by Check Point UDS:DangerousObject.Multi.Generic<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2017\/05\/13\/ransomware-wannacry-befllt-tausende-computer-weltweit\/\">Ransomware WannaCry bef\u00e4llt tausende Computer weltweit<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/21\/malwarebytes-analyse-wie-sich-wannycryp-verbreitete\/\">Malwarebytes-Analyse: Wie sich WannaCry verbreitete<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/13\/wannacrypt-updates-fr-windows-xp-server-2003-co\/\">WannaCrypt: Updates f\u00fcr Windows XP, Server 2003 &amp; Co.<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/20\/wannycry-meist-ungepatchte-windows7-systeme-befallen\/\">WannaCry: Meist ungepatchte Windows 7 Systeme befallen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/22\/wannycry-verschlsselte-daten-per-recovery-retten\/\">WannaCry: Verschl\u00fcsselte Daten per Recovery retten?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/06\/08\/wannycry-analysen-windows-10-port-daten-recovery\/\">WannaCry: Analysen, Windows 10-Port, Daten-Recovery \u2026<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/06\/28\/neues-zur-petya-ransomware-killswitch-gefunden\/\">Neues zur Petya Ransomware \u2013 Killswitch gefunden?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der Verschl\u00fcsselungstrojaner Petya wird wohl in einer neuen Kampagne verteilt und bef\u00e4llt weltweit Systeme von Firmen und Beh\u00f6rden. Man spricht von WannaCry-Ausma\u00dfen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4715,4328,4325],"class_list":["post-191753","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-ransomware","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191753","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=191753"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191753\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=191753"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=191753"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=191753"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}