{"id":191796,"date":"2017-06-28T00:17:02","date_gmt":"2017-06-27T22:17:02","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=191796"},"modified":"2023-02-20T08:12:20","modified_gmt":"2023-02-20T07:12:20","slug":"neues-zur-petya-ransomware-killswitch-gefunden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/06\/28\/neues-zur-petya-ransomware-killswitch-gefunden\/","title":{"rendered":"Neues zur Petya Ransomware &ndash; Gegenmittel gefunden?"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Momentan verbreitet sich ja eine neue Variante der Ransomware Petya (NotPetya, PetyaWrap) in Firmennetzen (siehe <a href=\"https:\/\/borncity.com\/blog\/2017\/06\/27\/achtung-petya-ransomware-befllt-weltweit-system\/\">Achtung: Petya Ransomware bef\u00e4llt weltweit Systeme<\/a>). Erste Analysen deuten an, dass die Ransomware auch Zugangsdaten stielt und sich nicht nur \u00fcber die SMBv1-L\u00fccke verbreitet. Zudem gibt es die Hoffnung, dass ein Killswitch gefunden wurde. <strong>Erg\u00e4nzung:<\/strong> Der Beitrag wurde um weitere Details aktualisiert.<\/p>\n<p><!--more--><\/p>\n<h2>Erg\u00e4nzung: Talos-Analyse der 'Nyetya' Malware<\/h2>\n<p>Die Sicherheitsspezialisten von Talos (Cisco) bezeichnen die neue Ransomware als Nyetya (for Not Petya) und haben hier eine <a href=\"http:\/\/blog.talosintelligence.com\/2017\/06\/worldwide-ransomware-variant.html\" target=\"_blank\" rel=\"noopener\">erste Analyse<\/a> ver\u00f6ffentlicht.<\/p>\n<ul>\n<li>Die Vermutung, dass die Malware per E-Mail-Anhang verbreitet wurde, konnte bisher nicht best\u00e4tigt werden.<\/li>\n<li>Talos vermutet, dass die Infektion \u00fcber ein kompromittiertes Update-System der ukrainischen Steuersoftware MeDoc (Tax System) erfolgte.<\/li>\n<\/ul>\n<p>Da der Gro\u00dfteil der Infektionen (60%) in der Ukraine erfolgte, k\u00f6nnte das zutreffen. Kaspersky hat inzwischen dieses Diagramm ver\u00f6ffentlicht.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/web.archive.org\/web\/20220515004856\/https:\/\/www.bleepstatic.com\/images\/news\/u\/986406\/Ransomware\/NotPetya\/Petya-chart.jpg\" width=\"617\" height=\"333\" \/><br \/>\n(Quelle: Kaspersky\/BleepingComputer)<\/p>\n<p>In diesem Tweet gibt GossiTheDog an, dass ein vergessenes digitales Zertifikat f\u00fcr das kompromittierte Update-System verantwortlich sein k\u00f6nnte.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">The payload appears to specifically reference the update process and uses a forged digital signature. It may be unconnected of course still. <a href=\"https:\/\/t.co\/o7pFzuNQXx\">https:\/\/t.co\/o7pFzuNQXx<\/a><\/p>\n<p>\u2014 Kevin Beaumont (@GossiTheDog) 27. Juni 2017<\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Bei Bleeping-Computer geht <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/petya-ransomware-outbreak-originated-in-ukraine-via-tainted-accounting-software\/\" target=\"_blank\" rel=\"noopener\">dieser Artikel<\/a> auf das Thema ein, wobei die M.E.Doc-Betreiber angeben, Opfer einer Virus-Attacke geworden zu sein, aber sp\u00e4ter verneinen, dass von dort die Petya (auch als PetyaWrap oder NonPetya bezeichnete) Malware verbreitet wurde.<\/p>\n<blockquote><p>Erg\u00e4nzung: Beachtet meinen Nachtrag am Artikelende zu Microsofts Antivirussoftware. Dort ist die Infektion durch den Updater best\u00e4tigt.<\/p><\/blockquote>\n<h2>Verbreitung per PsExec und WMIC<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/7da2cec5cb0d4327ab32ec8c58078594\" alt=\"\" width=\"1\" height=\"1\" \/>\u00dcber den initialen Infektionsvektor ist mir noch nichts bekannt. <span style=\"text-decoration: line-through;\">Vermutlich wird oder wurde die Malware \u00fcber Spam-Mails oder infizierte Webseiten ausgeliefert.<\/span> Ist ein Rechner einmal infiziert, wird eine Kopie von PsExec (aus den Sysinternals Tools) wohl in <em>dllhost.dat<\/em> umbenannt auf dem Rechner im Windows Verzeichnis abgelegt. Dann versucht die Malware \u00fcber WMIC-Aufrufe und weitere Ans\u00e4tze eine Verbreitung im Netzwerk.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Just patching with EternalBlue (MS17-010) doesn't appear to save you &#8211; other techniques for lateral movement in play here it looks like.<\/p>\n<p>\u2014 Dave Kennedy (ReL1K) (@HackingDave) 27. Juni 2017<\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>In obigem Tweet f\u00fchrt Dave Kennedy aus, dass das Patchen der ETHERNALBLUE-L\u00fccke (MS17-010) eine Verbreitung im Netzwerk nicht unterbindet. <strong>Erg\u00e4nzung: <\/strong>Bei Talos finden sich in <a href=\"http:\/\/blog.talosintelligence.com\/2017\/06\/worldwide-ransomware-variant.html\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> konkrete Angaben, wie PsExec und WMIC genutzt werden. Der PsExec-Aufruf sieht folgenderma\u00dfen aus:<\/p>\n<pre>C:\\WINDOWS\\dllhost.dat \\\\w.x.y.z -accepteula -s -d C:\\Windows\\System32\\rundll32.exe C:\\Windows\\perfc.dat,#1<\/pre>\n<p>Dort findet sich die Info \u00fcber die <em>perfc<\/em>, die nachfolgend als Killswitch referenziert wird. Dann erfolgt ein WMIC-Aufruf mit dem Benutzernamen und dem Anmeldekennwort:<\/p>\n<pre>Wbem\\wmic.exe \/node:\"w.x.y.z\" \/user:\"username\" \/password:\"password\" \"process call create \"C:\\Windows\\System32\\rundll32.exe \\\"C:\\Windows\\perfc.dat\\\" #1\"<\/pre>\n<p>Dies gibt einen Hinweis, dass die Malware an Anmeldedaten herankommt \u2013 wie genau, wird von Talos noch untersucht.<\/p>\n<h2>Credential Stealer integriert<\/h2>\n<p>In diesem Tweet deutet jemand an, dass bei der Verbreitung auch Anmeldedaten im Netzwerk verwendet w\u00fcrden. Das wird in diesem Tweet nochmals angedeutet:<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Not sure on technique yet here, but crews being used for authentication to systems not just loggedin_user <a href=\"https:\/\/t.co\/fEumwgs4Ho\">https:\/\/t.co\/fEumwgs4Ho<\/a><\/p>\n<p>\u2014 Dave Kennedy (ReL1K) (@HackingDave) 27. Juni 2017<\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Es werden offenbar im System gespeicherte Anmeldedaten (Credentials) verwendet, um sich gegen\u00fcber dem System und dem Netzwerk zu authentifizieren.<\/p>\n<p>In <a href=\"https:\/\/arstechnica.com\/security\/2017\/06\/a-new-ransomware-outbreak-similar-to-wcry-is-shutting-down-computers-worldwide\/\" target=\"_blank\" rel=\"noopener\">diesem arstechnica-Beitrag<\/a> werden Sicherheitsforscher zitiert, die eine zweite Funktion des Trojaners gefunden haben wollen. Diese Funktion versucht auf den befallenen Systemen Benutzernamen und Kennw\u00f6rter zu extrahieren und sendet diese an Server, die unter Kontrolle des Angreifers stehen. W\u00e4hrend die infizierte Maschine danach tot ist, haben die Angreifer die Anmeldeinformationen und k\u00f6nnen ggf. weitere Maschinen \u00fcber diese Anmeldedaten angreifen. Scheint sich zu einer sehr unerfreulichen Geschichte zu entwickeln.<\/p>\n<h2>Killswitch angeblich gefunden?<\/h2>\n<p>Auf Twitter gibt <a href=\"https:\/\/twitter.com\/0xAmit\" target=\"_blank\" rel=\"noopener\">Amid Serper<\/a> in diesem Tweet an, dass er ein Gegenmittel gefunden habe:<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">98% sure that the name is is perfc.dll Create a file in c:\\windows called perfc with no extension and <a href=\"https:\/\/twitter.com\/hashtag\/petya?src=hash\">#petya<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Nopetya?src=hash\">#Nopetya<\/a> won't run! SHARE!! <a href=\"https:\/\/t.co\/0l14uwb0p9\">https:\/\/t.co\/0l14uwb0p9<\/a><\/p>\n<p>\u2014 Amit Serper (@0xAmit) 27. Juni 2017<\/p><\/blockquote>\n<p><script charset=\"utf-8\" src=\"\/\/platform.twitter.com\/widgets.js\" async><\/script><\/p>\n<p>Man soll also im Windows-Ordner eine Datei <em>perfc <\/em>(ohne Erweiterung) anlegen, um die Verbreitung der Ransomware zu stoppen. Dazu kann man eine beliebige Datei \u2013 aber mit Inhalt \u2013 in den Windows-Ordner kopieren und dieser Datei dann das Attribut <em>Read-only<\/em> zuweisen. <span style=\"text-decoration: line-through;\">K\u00f6nnte aber ein Fake sein \u2013 obwohl<\/span> Es gibt <a href=\"https:\/\/twitter.com\/PTsecurity_UK\/status\/879779707075665922\" target=\"_blank\" rel=\"noopener\">hier<\/a> eine zweite Quelle, die das best\u00e4tigt. Offenbar wird die Verschl\u00fcsselungsroutine nicht aktiv, was aber kein wirklicher Killswitch ist, da sich die Ransomware weiter verbreitet. Bei MalwareBytes <a href=\"https:\/\/www.malwaretech.com\/2017\/06\/petya-ransomware-attack-whats-known.html\" target=\"_blank\" rel=\"noopener\">schreibt man<\/a>, dass dieser Ansatz nur die Verbreitung auf dem eigenen Rechner unterbindet. Erg\u00e4nzung: Zwischenzeitlich findet sich bei Bleeping Computer <a href=\"https:\/\/web.archive.org\/web\/20230208130222\/https:\/\/www.bleepingcomputer.com\/news\/security\/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak\/\" target=\"_blank\" rel=\"noopener\">diese Anleitung<\/a> zum Anlegen der Datei (danke an Julia f\u00fcr den Link).<\/p>\n<h2>Nachtrag: Microsofts Virensoftware erkennt PetyaWrap<\/h2>\n<p>In <a href=\"https:\/\/blogs.technet.microsoft.com\/mmpc\/2017\/06\/27\/new-ransomware-old-techniques-petya-adds-worm-capabilities\/\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> geht Microsoft auf das Thema ein. Dort schreibt Microsoft, dass man den Sch\u00e4dling analysiert. Gleichzeitig findet sich die Best\u00e4tigung, dass die Virensignaturen f\u00fcr die Microsoft Sicherheitsprodukte (z.B. Defender und MSE) aktualisiert wurden (1.247.197.0) und den Sch\u00e4dling erkennen.<\/p>\n<p>Im Blog-Beitrag schreibt Microsoft \u00fcbrigens, dass man \u00fcber Telemetriedaten festgestellt habe, dass die ukrainische Steuersoftware M.E.Doc initial f\u00fcr einige Infektionen verantwortlich war. Der Prozess <em>EzVit.exe<\/em>, zust\u00e4ndig f\u00fcr Updates der Software, war wohl kompromittiert.<\/p>\n<p>Im Microsoft-Beitrag werden die weiter oben und im Artikel <a href=\"https:\/\/borncity.com\/blog\/2017\/06\/27\/achtung-petya-ransomware-befllt-weltweit-system\/\">Achtung: Petya Ransomware bef\u00e4llt weltweit Systeme<\/a> erw\u00e4hnten Mechanismen zur Verbreitung weitgehend best\u00e4tigt. Die Malware verwendet existierende Sessions oder gefundene Anmeldedaten zur Verbreitung im Netzwerk, greift auf Netzwerkfreigaben zu und verwendet auch Sicherheitsl\u00fccken in SMBv1. Microsoft legt weitere Details offen, zeigt wie die Infektion im Windows Defender Advanced Threat Protection behandelt werden kann und gibt Hinweise, wie eine Infektion zu vermeiden w\u00e4re. Dort sind zwei Ma\u00dfnahmen genannt: SMBv1 deaktivieren (was aber viele Funktionalit\u00e4ten in Firmen lahm legen d\u00fcrfte) und in den Firewalls den SMB-Datentransfer auf Port 445 unterbinden. Martin hat <a href=\"https:\/\/www.drwindows.de\/content\/12963-petya-microsoft-analysiert-neue-ransomware-attacke.html\" target=\"_blank\" rel=\"noopener\">bei Dr. Windows<\/a> ein paar deutschsprachige Erl\u00e4uterungen publiziert.<\/p>\n<p>Erg\u00e4nzung 2: In <a href=\"https:\/\/medium.com\/@thegrugq\/pnyetya-yet-another-ransomware-outbreak-59afd1ee89d4\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a>\u00a0werden weitere Infektionsmethoden genannt. So wird ein kompromittierter Webserver als 'Waterhole' verwendet, um die Ransomware per Exploit auszuliefern.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/06\/27\/achtung-petya-ransomware-befllt-weltweit-system\/\">Achtung: Petya Ransomware bef\u00e4llt weltweit Systeme<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/13\/ransomware-wannacry-befllt-tausende-computer-weltweit\/\">Ransomware WannaCry bef\u00e4llt tausende Computer weltweit<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/21\/malwarebytes-analyse-wie-sich-wannycryp-verbreitete\/\">Malwarebytes-Analyse: Wie sich WannaCry verbreitete<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/13\/wannacrypt-updates-fr-windows-xp-server-2003-co\/\">WannaCrypt: Updates f\u00fcr Windows XP, Server 2003 &amp; Co.<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/20\/wannycry-meist-ungepatchte-windows7-systeme-befallen\/\">WannaCry: Meist ungepatchte Windows 7 Systeme befallen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/22\/wannycry-verschlsselte-daten-per-recovery-retten\/\">WannaCry: Verschl\u00fcsselte Daten per Recovery retten?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/06\/08\/wannycry-analysen-windows-10-port-daten-recovery\/\">WannaCry: Analysen, Windows 10-Port, Daten-Recovery \u2026<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Momentan verbreitet sich ja eine neue Variante der Ransomware Petya (NotPetya, PetyaWrap) in Firmennetzen (siehe Achtung: Petya Ransomware bef\u00e4llt weltweit Systeme). Erste Analysen deuten an, dass die Ransomware auch Zugangsdaten stielt und sich nicht nur \u00fcber die SMBv1-L\u00fccke verbreitet. Zudem &hellip; <a href=\"https:\/\/borncity.com\/blog\/2017\/06\/28\/neues-zur-petya-ransomware-killswitch-gefunden\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[6315,4935,4715,4328,4325],"class_list":["post-191796","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-notpetya","tag-petya","tag-ransomware","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191796","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=191796"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191796\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=191796"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=191796"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=191796"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}