Gemeinsamen Namen | NotPetya |
---|---|
Klasse | Computerwurm |
Art | Wischer |
Autor | Unbekannt |
Betroffene Betriebssysteme | Windows XP bis Windows 10 |
NotPetya ist ein Wischer Typ von Malware (es zerstört Daten), sondern erscheint als Ransomware ( auch genannt Ransomware ) durch einen Erpresserbrief auf dem Bildschirm des infizierten Computers anzeigt. Sein Ausbreitungsmechanismus ermöglicht es, ihn als Computerwurm zu klassifizieren .
Er steht hinter einem neuen globalen Cyberangriff (dem dritten Cyberangriff in weniger als einem Monat nach WannaCry und Adylkuzz , die beide im Mai 2017 stattfanden), der auch die Aufmerksamkeit der internationalen Medien auf sich zog.
Als es am 27. Juni 2017 erschien, wurde es erstmals als neue Variante von Petya angesehen , aber kurz darauf wurde diese Hypothese von Kaspersky Lab bestritten, das der Ansicht war, es handele sich um "eine neue Ransomware, die noch nie zuvor gesehen worden war" und nannte es NotPetya, um es von letzterem zu unterscheiden.
Es betrifft alle Versionen von Microsoft Windows , von Windows XP bis Windows 10, und verwendet zur Verbreitung der Sicherheitslücke, die es ausnutzt, auf die gleiche Weise wie WannaCry , dh EternalBlue , das von der Hacker-Gruppe The Shadow der NSA gestohlen wurde Makler . Diese Windows-Sicherheitslücke wurde von Microsoft im März 2017 behoben (Security Bulletin MS17-010), aber viele Unternehmen haben ihr Betriebssystem nicht aktualisiert, daher dieser globale Cyberangriff.
Am 27. Juni 2017 waren Hunderttausende von Computern auf der ganzen Welt von einer massiven neuen Welle globaler Cyber-Angriffe betroffen, die "an die Wirkungsweise des WannaCry-Virus am Wochenende vom 12. bis 13. Mai 2017 erinnern" . Die ersten Infektionen der Welt begannen um 11 Uhr, die in Frankreich 4 Stunden später um 15 Uhr.
Es betrifft gleichzeitig:
Frankreich bleibt von NotPetya nicht verschont:
Die NotPetya-Ransomware wird jedes Mal angezeigt, wenn Sie Ihren Computer anstelle von Windows starten. So sehen wir auf einem schwarzen Bildschirm mit einem rot und englisch geschriebenen Text die folgende Meldung:
"Hoppla, Ihre Dateien wurden verschlüsselt. Wenn Sie diese Meldung sehen, sind Ihre Dateien nicht mehr zugänglich, da sie verschlüsselt wurden. Vielleicht suchen Sie nach einer Möglichkeit, Ihre Dateien zurückzubekommen, aber verschwenden Sie keine Zeit. Sie können sie wiederherstellen." Ihre Dateien ohne unseren Entschlüsselungsservice. "
Letzterer fordert daher eine Zahlung in Bitcoin , einer Kryptowährung , von 300 Dollar an und sendet diese an eine zufällige E-Mail-Adresse, um den Zugriff auf seine Dateien wiederherstellen zu können. Die zurückgegebene Adresse wurde jedoch vom deutschen E-Mail-Anbieter Posteo deaktiviert, sodass nach Zahlung des Lösegelds keine Dateien wiederhergestellt werden. Die Daten werden dann zerstört. Für Computersicherheitsexperten ist NotPetya keine Ransomware, sondern ein Wischer, mit dem Benutzerdaten zerstört werden. Ziel ist nicht die Erpressung, sondern die vollständige Zerstörung von Computerdaten.
Im Gegensatz zu WannaCry gibt es keinen " Kill Switch ", keinen globalen Abschaltmechanismus oder kein Entschlüsselungswerkzeug. Eine Präventionslösung wurde dennoch von Experten gefunden. In der Tat ist es möglich, Ihr System gegen eine zukünftige NotPetya-Infektion zu immunisieren, indem Sie eine Datei mit dem Namen "perfc" im Stammverzeichnis des Ordners "Windows" erstellen. Es ist diese Datei, nach der gesucht wird, bevor mit der Verschlüsselung der Computerdaten begonnen wird. Wenn diese Datei gefunden wird, findet keine Datenverschlüsselung statt. Wenn diese Datei nicht gefunden wird, wird die Arbeit fortgesetzt.
Die NotPetya-Ransomware wird über eine geplante Aufgabe oder eine ausführbare Datei (.exe) aktiviert. Sobald Sie auf diese Datei klicken, stürzt der infizierte Computer ab und startet neu. Es wird ein Bluescreen des Todes angezeigt . Anschließend führt der Windows-Festplattenfehlerfinder (CHKDSK) eine falsche Überprüfung der Festplatten durch, bevor die Lösegeldmeldung auf dem Bildschirm des infizierten Computers angezeigt wird. Sobald es gelungen ist, auf einem Computer innerhalb eines Unternehmensnetzwerks Fuß zu fassen, wird NotPetya versuchen, sich über das interne Unternehmensnetzwerk zu verbreiten, um andere Computer abzufangen. Dafür hat die Malware mehrere Fäden in der Hand. Es enthält zwei von der NSA gestohlene Hacking-Tools, die von der Shadow Brokers-Gruppe veröffentlicht wurden, nämlich EternalBlue und EternalRomance (die beiden Windows- Sicherheitslücken ). Mit beiden können Sie die Kontrolle über einen Computer über das SMBv1- Protokoll übernehmen . Sie basieren auf Fehlern, die Microsoft seit mehreren Monaten behoben hat.
Wenn die SMB-Protokollroute nicht erfolgreich ist, sucht die Malware auf dem Computer nach Administratorkennwörtern und versucht gegebenenfalls, mithilfe des bekannten SMBv1-Protokolls eine Verbindung zu anderen Terminals über die TCP-Ports 139 und 445 herzustellen. Wenn ein Server oder besser ein Domänencontroller erkannt wird, wird dort eine ausführbare Datei (.exe) abgelegt, die mithilfe von Microsoft-Remoteverwaltungstools (PSEXEC und WMIC) remote betrieben wird. Der Vorteil dieser Methode besteht darin, dass Hacker Computer infizieren können, selbst wenn alle Sicherheitsupdates installiert sind.
Wenn das Unternehmensnetzwerk mit Partnern verbunden ist, hindert nichts den Virus daran, andere Organisationen über diese zu infizieren.
NotPetya richtet sich wie WannaCry in erster Linie an Unternehmen und Organisationen. Aber im Gegensatz zu seinem Vorgänger verbreitet es sich nicht wild über das Internet. Laut Microsoft fand die erste Infektion in der Ukraine statt. Die Hacker verwendeten das MEDoc-Verfahren (Ukrainian Accounting Software Update), um ihren Schadcode in das Netzwerk eines lokalen Unternehmens zu übertragen. Diese Software ist in ukrainischen Unternehmen weit verbreitet. Diese Hypothese würde ihre Viralität im Land und dann in Europa erklären.
Kaspersky hat einen weiteren Infektionsvektor der NotPetya-Ransomware identifiziert, nämlich die Website der ukrainischen Stadt Bakhmut in der Region Donezk. Die Hacker haben die Homepage so ausgetrickst, dass eine als Microsoft Windows-Update getarnte ausführbare Datei heruntergeladen wurde. Hacker haben möglicherweise andere Vektoren verwendet, z. B. das Versenden von Trick-E-Mails an Opfer.
Der Entschlüsselungsprozess war völlig funktionsunfähig, da der deutsche Instant Messaging-Host Posteo die einzige E-Mail-Adresse deaktiviert hat, die Opfer zur Bestätigung der Bitcoin-Zahlung für das Lösegeld verwenden mussten. Ohne diese Bestätigung können die Hacker den Zahler nicht identifizieren und senden daher den Verschlüsselungsschlüssel, wenn sie dies beabsichtigt hatten.
Der Sicherheitsforscher Matt Suiche seinerseits glaubt, dass die Lösegeldbotschaft nur ein Köder ist, um die Medienmaschine zu befeuern, und dass das eigentliche Ziel dieses Angriffs die Sabotage ist. Nach seiner Analyse werden die Daten in der Bootzone nirgendwo gespeichert, sondern einfach durch etwas anderes ersetzt. Die Festplatte wäre daher ohnehin nicht wiederherstellbar. "Die aktuelle Version von NotPetya wurde als Wischer und nicht als Ransomware umgeschrieben", sagte der Experte.
In Frankreich hat die Pariser Staatsanwaltschaft eine eklatante Untersuchung wegen „betrügerischen Zugangs und Wartung in automatisierten Datenverarbeitungssystemen “ eingeleitet , „die das Funktionieren dieser Systeme behindert“ und „Erpressung und versuchte Erpressung“ .
Die National Information Systems Security Agency empfiehlt nachdrücklich folgende Maßnahmen:
Im Falle einer Infektion mit dem NotPetya-Virus wird empfohlen: