Diese Woche gab es einen neuen Aufruhrin der IT welt und wieder einmal ist ein Stück Technik der Menschheit um die Ohren geflogen. Ja, wieder einmal sind wir noch glimpflich davon gekommen, die Welt ist nicht untergegangen, auch wenn mit den Überwachungsanalgen Tschernobyls eventuell erstmalig ein kritischer Teil der welweiten Infrastruktur betroffen war.
Ransomware
Die neueste Attacke war wieder von einer Ransomware ausgeganen, oder doch nicht? Bestimmte Sicherheitsforscher wollen herausgefunden haben, dass Petya zwar Lösegeld gefordert hat, aber das System war nie darauf ausgelegt auch wirklich wieder freizugeben, da der Mechanismus nicht funktionierte. Schlimmer noch, der MBR (Master Boot Record) des Systems sollte irreversibel geschädigt werden (Quelle).
Nun gibt es zwei Möglichkeiten die letztlich noch nicht geklärt sind, entweder es war Absicht und es kam dem Erzeuger nur darauf an, möglichst großen Schaden anzurichten, oder aber der Erzeuger wusste es einfach nicht besser und war einfach nicht in der Lage einen funktionierenden Entschlüsselungsmechanismus zu implementieren.
Nun stelle man sich einmal vor, diese Erpressungstrojaner finden Ihren weg im Darknet in die dortigen Marktplätze und es wird Ransomware as a Service (RaaS?) angeboten. Hinz und Kunz könnte sich Erpressungstrojaner zusammenklicken.
Killswitch
Interessanterweise ließ sich auch bei dieser Attacke scheinbar wieder per „Notschalter“ die Verbreitung oder Schädigung stoppen. Zuvor bei Wannacry war es einem Sicherheitsforscher gelungen eine URL zu registrieren die Wannacry stoppte. dabei muss die Ransomware scheinbar geprüft haben ob eine gewisse URL im Internet erreichbar ist. Ist dies der Fall, bricht Wannacry ab und verschlüsselt nichts.
Die bei Petya oder NoPetya verfügbare Notabschaltung funktionierte anders: Petya versucht eine ausführbare Datei im Windows Verzeichnis eines Systems zu erstellen welche zur Verschlüsselung oder Schädigung des Systems genutzt wird. Nun musste bevor das eigene System infiziert ist, diese Datei schon manuell erstellt werden und dem System sämtliche Rechte zum Schreiben auf diese Datei entzogen werden. Somit kann Petya selbst die Datei nicht anlegen. Anbei ist ein Codeausschnitt, den man aufrufen kann um die Dateien erstellen zu lassen die benötigt werden (Inhalt kopieren, in eine neue .bat Datei einfügen und als Administrator ausführen).
@echo off REM Administrative check from here: https://stackoverflow.com/questions/4051883/batch-script-how-to-check-for-admin-rights REM Vaccination discovered by twitter.com/0xAmit/status/879778335286452224 REM Batch file created by Lawrence Abrams of BleepingComputer.com. @bleepincomputer @lawrenceabrams echo Administrative permissions required. Detecting permissions... echo. net session >nul 2>&1 if %errorLevel% == 0 ( if exist C:\Windows\perfc ( echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya. echo. ) else ( echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat attrib +R C:\Windows\perfc attrib +R C:\Windows\perfc.dll attrib +R C:\Windows\perfc.dat echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya. echo. ) ) else ( echo Failure: You must run this batch file as Administrator. ) pause
Die kürzer werdenden Abstände zwischen den Großen Problemen und Vorfällen lassen böses erahnen für die Zukunft.
