Nachdem Mitte Mai die Ransomware "WannaCry" ihr Unwesen getrieben hat, soll sich seit gestern ein Ableger mit dem Namen "Petya" in bislang über 60 Ländern, darunter auch Deutschland, ausgebreitet haben, welcher auf die gleiche Sicherheitslücke wie im Mai abzielt. Nun haben sich dem die Sicherheitsexperten von Microsoft angenommen, welche mehr oder weniger eine Entwarnung für die Nutzer geben, welche auf ihren Systemen die aktuellsten Patches installiert haben
UPDATE Vom 29.06.13:57 Uhr
Wie die Kollegen von TheVerge sowie auch heise berichten, soll es sich bei der aktuellen Erpresser-Schadsoftware nicht um Petya handeln, sondern um ein Konstrukt, welches nur vorgibt, Petya zu sei. Aus diesem Grunde sollen Sicherheitsforscher aus aller Welt diese Software nun explizit als NotPetya bezeichnen. Den dahinter stehenden Kriminellen soll es zudem nicht wirklich um Lösegelder gehen, sondern ur darum, möglichst viel Chaos zu erzeugen und hauptsächlich in der Ukraine ansässige Firmen lahmzulegen. Anders als bei der im vergangenen Monat tobenden WannaCry-Schadsoftware soll sich "NotPetya" zunächst über die ukrainische Steuersoftware MeDoc zu verbreiten, welche jedes, in der Ukraine ansässige Unternehmen nutzt, das rechtmäßig Steuern zahlt. Da aber auch viele multinationale Unternehmen wie zum Beispiel das dänische Konglomerat Maersk infiziert worden sind, steht der Software natürlich der Weg außerhalb der Ukraine frei. Interessant ist die Infizierungsform von "NotPetya", welche sich nicht wie bislang über Pishing-Mails oder ein Exploit-Kit verbreiten, sondern ganz geziehlt über ein Software-Update der besagten MeDoc-Steuersoftware.
Wie die Kollegen von heise berichten, soll man seinen Rechner auch gegen Schadsoftware wie NonPetya, Petya, Petna sowie SortaPetya schützen können, indem man bestimmte Dateien im Ordner C:Windows anlegt. Für diesen Vorgang hat der Sicherheitsforscher Lawrence Adams bereits eine Batch-Datei angelegt, die wie folgt aussieht:
Man sollte allerdings beachten, dass auch diese Batch-Datei alleine nicht in der Lage sein kann, künftige Ransomware-Angriffe erfolgreich aufhalten zu können, da einerseits mit neueren Versionen der Trojaner gerechnet werden muss, die dann diesen Kill Switch gekonnt ignorieren können, andererseits auf einem System ohne März-Patch mit den geschlossenen ETERNALBLUE-Sicherheitslücken auch keine Wirkung zeigen.
Der beste Schutz gegen Bedrohungen dieser Art besteht laut Sicherheitsexperten aber nur im erstellen von regelmäßigen Systembackups, die auf einem extra geschützten Server bzw. NAS liegen.
Original-Artikel vom 28.06.2017 - 18:18 Uhr
Ja, seit gestern treibt sich nach der bereits Mitte Mai verbreiteten Ransomware "WannaCry" ein Ableger derer mit dem Namen "Peyta" herum, welche mittlerweile in über 60 Ländern für kleinen, mittleren aber auch größeren Schaden sorgt. In einer Erklärung von Microsofts Sicherheitsexperten heißt es aber, dass einerseits Maßnahmen gegen eine weitere Ausbreitung unternommen werden und dass sich Nutzer eines Windows-Systems, welches die neuesten Updates enthalten - in diesem Fall den März-Patch - sich keine Sorgen zu machen brauchen, dass ihr Windows befallen werden könnte. In diesem März-Patch sind bereits die Signaturen der hauseigenen Antivirus-Programme Defender sowie Security Essentials insoweit aktualisiert worden, dass auch die neue Petya-Variante im Fall der Fälle erkannt und aufgehalten werden kann.
Auch Unternehmen, welche auf die Windows Defender Advanced Thread Protection (ATP) setzen, sind vor Petya geschützt, da deren verhaltensbasierte Erkennung den Schädling ohne weiteres Zutun aufhalten kann. Als Sicher gelten die Rechner, die mit dem im März zur Verfügung gestellten Sicherheitspatch MS17-010 ausgestattet sind.
Ist der Rechner nicht ausreichen geschützt, zielt Petya auf die gleiche Lücke wie schon WannaCry, um sämtliche Daten eines Rechners sowie derer, die sich im gleichen Netzwerk befinden, zu infizieren und verschlüsseln. Um die Daten wieder entschlüsseln zu können, müsste wie schon bei WannaCry ein "Lösegeld" gezahlt werden, dessen Höhe unterschiedlich ausfällt.
Wer dennoch ein ungutes Gefühl bei der Sache hat, kann auf anraten von Microsoft auch das SMBv1-Protokoll deaktivieren, insofern dieses nicht benötigt wird. Eine weitere Möglichkeit besteht auch darin, im Router selbst oder in der Firewall eine neue Regel zu erstellen, welche dann den eingehenden SMB-Traffic über die Ports 139 und 445 blockiert.
Meinung des Autors: Wichtig ist es, seinen PC möglichst immer up-to-date zu halten. Das muss jetzt nicht in einer täglichen Klick-Orgie zum Überprüfen auf neue Updates ausarten, aber aller 14 Tage sollte man auch als "normaler" Windows-Anwender mal überprüfen, ob Microsoft neue Sicherheitspatches und Updates bereit hält und diese auch installieren. Sein System aufgrund eines Virus neu aufsetzen zu müssen und dabei im worst case einen Großteil der Daten verlieren, sollte nun bei keinem auf dem Wunschzettel stehen.
UPDATE Vom 29.06.13:57 Uhr
Wie die Kollegen von TheVerge sowie auch heise berichten, soll es sich bei der aktuellen Erpresser-Schadsoftware nicht um Petya handeln, sondern um ein Konstrukt, welches nur vorgibt, Petya zu sei. Aus diesem Grunde sollen Sicherheitsforscher aus aller Welt diese Software nun explizit als NotPetya bezeichnen. Den dahinter stehenden Kriminellen soll es zudem nicht wirklich um Lösegelder gehen, sondern ur darum, möglichst viel Chaos zu erzeugen und hauptsächlich in der Ukraine ansässige Firmen lahmzulegen. Anders als bei der im vergangenen Monat tobenden WannaCry-Schadsoftware soll sich "NotPetya" zunächst über die ukrainische Steuersoftware MeDoc zu verbreiten, welche jedes, in der Ukraine ansässige Unternehmen nutzt, das rechtmäßig Steuern zahlt. Da aber auch viele multinationale Unternehmen wie zum Beispiel das dänische Konglomerat Maersk infiziert worden sind, steht der Software natürlich der Weg außerhalb der Ukraine frei. Interessant ist die Infizierungsform von "NotPetya", welche sich nicht wie bislang über Pishing-Mails oder ein Exploit-Kit verbreiten, sondern ganz geziehlt über ein Software-Update der besagten MeDoc-Steuersoftware.
Wie die Kollegen von heise berichten, soll man seinen Rechner auch gegen Schadsoftware wie NonPetya, Petya, Petna sowie SortaPetya schützen können, indem man bestimmte Dateien im Ordner C:Windows anlegt. Für diesen Vorgang hat der Sicherheitsforscher Lawrence Adams bereits eine Batch-Datei angelegt, die wie folgt aussieht:
@echo off
echo Administrative permissions required. Detecting permissions...
echo.
net session >nul 2>&1
if %errorLevel% == 0 (
if exist C:Windowsperfc (
echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
echo.
) else (
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:Windowsperfc
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:Windowsperfc.dll
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:Windowsperfc.dat
attrib +R C:Windowsperfc
attrib +R C:Windowsperfc.dll
attrib +R C:Windowsperfc.dat
echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
echo.
)
) else (
echo Failure: You must run this batch file as Administrator.
)
pause
Man sollte allerdings beachten, dass auch diese Batch-Datei alleine nicht in der Lage sein kann, künftige Ransomware-Angriffe erfolgreich aufhalten zu können, da einerseits mit neueren Versionen der Trojaner gerechnet werden muss, die dann diesen Kill Switch gekonnt ignorieren können, andererseits auf einem System ohne März-Patch mit den geschlossenen ETERNALBLUE-Sicherheitslücken auch keine Wirkung zeigen.
Der beste Schutz gegen Bedrohungen dieser Art besteht laut Sicherheitsexperten aber nur im erstellen von regelmäßigen Systembackups, die auf einem extra geschützten Server bzw. NAS liegen.
Original-Artikel vom 28.06.2017 - 18:18 Uhr
Ja, seit gestern treibt sich nach der bereits Mitte Mai verbreiteten Ransomware "WannaCry" ein Ableger derer mit dem Namen "Peyta" herum, welche mittlerweile in über 60 Ländern für kleinen, mittleren aber auch größeren Schaden sorgt. In einer Erklärung von Microsofts Sicherheitsexperten heißt es aber, dass einerseits Maßnahmen gegen eine weitere Ausbreitung unternommen werden und dass sich Nutzer eines Windows-Systems, welches die neuesten Updates enthalten - in diesem Fall den März-Patch - sich keine Sorgen zu machen brauchen, dass ihr Windows befallen werden könnte. In diesem März-Patch sind bereits die Signaturen der hauseigenen Antivirus-Programme Defender sowie Security Essentials insoweit aktualisiert worden, dass auch die neue Petya-Variante im Fall der Fälle erkannt und aufgehalten werden kann.
Auch Unternehmen, welche auf die Windows Defender Advanced Thread Protection (ATP) setzen, sind vor Petya geschützt, da deren verhaltensbasierte Erkennung den Schädling ohne weiteres Zutun aufhalten kann. Als Sicher gelten die Rechner, die mit dem im März zur Verfügung gestellten Sicherheitspatch MS17-010 ausgestattet sind.
Ist der Rechner nicht ausreichen geschützt, zielt Petya auf die gleiche Lücke wie schon WannaCry, um sämtliche Daten eines Rechners sowie derer, die sich im gleichen Netzwerk befinden, zu infizieren und verschlüsseln. Um die Daten wieder entschlüsseln zu können, müsste wie schon bei WannaCry ein "Lösegeld" gezahlt werden, dessen Höhe unterschiedlich ausfällt.
Wer dennoch ein ungutes Gefühl bei der Sache hat, kann auf anraten von Microsoft auch das SMBv1-Protokoll deaktivieren, insofern dieses nicht benötigt wird. Eine weitere Möglichkeit besteht auch darin, im Router selbst oder in der Firewall eine neue Regel zu erstellen, welche dann den eingehenden SMB-Traffic über die Ports 139 und 445 blockiert.
via drwindows, deskmodder
Meinung des Autors: Wichtig ist es, seinen PC möglichst immer up-to-date zu halten. Das muss jetzt nicht in einer täglichen Klick-Orgie zum Überprüfen auf neue Updates ausarten, aber aller 14 Tage sollte man auch als "normaler" Windows-Anwender mal überprüfen, ob Microsoft neue Sicherheitspatches und Updates bereit hält und diese auch installieren. Sein System aufgrund eines Virus neu aufsetzen zu müssen und dabei im worst case einen Großteil der Daten verlieren, sollte nun bei keinem auf dem Wunschzettel stehen.
