Petya oder doch nicht?

Diese Woche gab es einen neuen Aufruhrin der IT welt und wieder einmal ist ein Stück Technik der Menschheit um die Ohren geflogen. Ja, wieder einmal sind wir noch glimpflich davon gekommen, die Welt ist nicht untergegangen, auch wenn mit den Überwachungsanalgen Tschernobyls eventuell erstmalig ein kritischer Teil der welweiten Infrastruktur betroffen war.

Ransomware

Die neueste Attacke war wieder von einer Ransomware ausgeganen, oder doch nicht? Bestimmte Sicherheitsforscher wollen herausgefunden haben, dass Petya zwar Lösegeld gefordert hat, aber das System war nie darauf ausgelegt auch wirklich wieder freizugeben, da der Mechanismus nicht funktionierte. Schlimmer noch, der MBR (Master Boot Record) des Systems sollte irreversibel geschädigt werden (Quelle).

Nun gibt es zwei Möglichkeiten die letztlich noch nicht geklärt sind, entweder es war Absicht und es kam dem Erzeuger nur darauf an, möglichst großen Schaden anzurichten, oder aber der Erzeuger wusste es einfach nicht besser und war einfach nicht in der Lage einen funktionierenden Entschlüsselungsmechanismus zu implementieren.

Nun stelle man sich einmal vor, diese Erpressungstrojaner finden Ihren weg im Darknet in die dortigen Marktplätze und es wird Ransomware as a Service (RaaS?) angeboten. Hinz und Kunz könnte sich Erpressungstrojaner zusammenklicken.

Killswitch

Interessanterweise ließ sich auch bei dieser Attacke scheinbar wieder per „Notschalter“ die Verbreitung oder Schädigung stoppen. Zuvor bei Wannacry war es einem Sicherheitsforscher gelungen eine URL zu registrieren die Wannacry stoppte. dabei muss die Ransomware scheinbar geprüft haben ob eine gewisse URL im Internet erreichbar ist. Ist dies der Fall, bricht Wannacry ab und verschlüsselt nichts.

Die bei Petya oder NoPetya verfügbare Notabschaltung funktionierte anders: Petya versucht eine ausführbare Datei im Windows Verzeichnis eines Systems zu erstellen welche zur Verschlüsselung oder Schädigung des Systems genutzt wird. Nun musste bevor das eigene System infiziert ist, diese Datei schon manuell erstellt werden und dem System sämtliche Rechte zum Schreiben auf diese Datei entzogen werden. Somit kann Petya selbst die Datei nicht anlegen. Anbei ist ein Codeausschnitt, den man aufrufen kann um die Dateien erstellen zu lassen die benötigt werden (Inhalt kopieren, in eine neue .bat Datei einfügen und als Administrator ausführen).

@echo off
 REM Administrative check from here: https://stackoverflow.com/questions/4051883/batch-script-how-to-check-for-admin-rights
 REM Vaccination discovered by twitter.com/0xAmit/status/879778335286452224
 REM Batch file created by Lawrence Abrams of BleepingComputer.com. @bleepincomputer @lawrenceabrams
 
 echo Administrative permissions required. Detecting permissions...
 echo.
 		
 net session >nul 2>&1
 
 if %errorLevel% == 0 (
 	if exist C:\Windows\perfc (
 		echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
 		echo.
 	) else (
 		echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
 echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
 echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat
 
 		attrib +R C:\Windows\perfc
 attrib +R C:\Windows\perfc.dll
 attrib +R C:\Windows\perfc.dat
 
 		echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
 		echo.
 	)
 ) else (
 	echo Failure: You must run this batch file as Administrator.
 )
 
 pause

 

Die kürzer werdenden Abstände zwischen den Großen Problemen und Vorfällen lassen böses erahnen für die Zukunft.

Summary
Petya oder doch nicht?
Article Name
Petya oder doch nicht?
Description
Kurze Zusammenfassung über Petya Ransomware
Matthias Stukenberg
Matthias Stukenberg
Matthias Stukenberg
Publisher Logo

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.