Petya / NotPetya Ransomware

Petya (NotPetya) Ransomware

Aufgrund der weltweiten Reichweite der Ransomware strömten viele Forscher in die Analyse, um eine Lücke in ihrer Verschlüsselung oder einer Killswitch-Domäne zu finden, die die Ausbreitung verhindern würde, ähnlich wie bei WannaCry. Wenn ein Computer infiziert ist, verschlüsselt die Ransomware wichtige Dokumente und Dateien und fordert dann in Bitcoin ein Lösegeld für einen digitalen Schlüssel, der zum Entsperren der Dateien benötigt wird. Die Malware scheint eine beträchtliche Menge an Code mit einem älteren Stück Ransomware zu teilen, das wirklich Petya genannt wurde. In den Stunden nach dem Ausbruch des Ausbruchs hat Kaspersky Lab die Malware NotPetya neu gestartet.

Wie verbreitet es sich?

Die schädliche Software verbreitet sich schnell in einer Organisation. Im Gegensatz zu WannaCry versucht diese Version von 'Petya', sich intern innerhalb von Netzwerken zu verbreiten, aber nicht von außen. Dies könnte die endgültige Ausbreitung der Malware eingeschränkt haben, die über Nacht eine Abnahme der Rate neuer Infektionen zu haben scheint.
Es übernimmt Computer und fordert $ 300, bezahlt in Bitcoin. Sobald ein Computer mit der EternalBlue-Schwachstelle in Microsoft Windows infiziert ist (Microsoft hat einen Patch veröffentlicht, aber nicht jeder hat ihn installiert) oder über zwei Windows-Verwaltungsprogramme.

Gibt es einen Impfstoff?

Bei der Analyse der inneren Funktionsweise von Ransomware war Serper der Erste, der feststellte, dass NotPetya nach einer lokalen Datei suchen und die Verschlüsselungsroutine beenden würde, wenn diese Datei bereits auf der Festplatte vorhanden wäre.

Die ersten Ergebnisse des Forschers wurden später von anderen Sicherheitsforschern wie PT Security, TrustedSec und Emsisoft bestätigt. Dies bedeutet, dass die Opfer diese Datei auf ihren PCs erstellen, auf schreibgeschützt setzen und die NotPetya-Ransomware vor der Ausführung blockieren können.

Während dies verhindert, dass die Ransomware ausgeführt wird, handelt es sich bei dieser Methode eher um eine Impfung als um eine Kill-Option. Dies liegt daran, dass jeder Computerbenutzer diese Datei unabhängig voneinander erstellen muss, im Vergleich zu einem "Schalter", den der Ransomware-Entwickler global aktivieren könnte, um alle Ransomware-Infektionen zu verhindern.

Wie man Ihren Computer manuell impfen?

Konfigurieren Sie zunächst Windows, um Dateierweiterungen anzuzeigen. Für diejenigen, die nicht wissen, wie man das macht, können Sie diesen Leitfaden benutzen. Stellen Sie einfach sicher, dass die Einstellung Ordneroptionen für Ausblendungserweiterungen für bekannte Dateitypen deaktiviert ist.

Wenn Sie die Anzeige von Erweiterungen aktiviert haben, die Sie immer aktiviert haben sollten, öffnen Sie den Ordner C: \ Windows. Scrollen Sie nach dem Öffnen des Ordners nach unten, bis Sie das Programm notepad.exe sehen.

Sobald Sie das Programm notepad.exe sehen, klicken Sie mit der linken Maustaste einmal darauf, damit es markiert ist. Drücken Sie dann Strg + C, um zu kopieren, und drücken Sie Strg + V, um es einzufügen. Wenn Sie es einfügen, erhalten Sie eine Eingabeaufforderung, in der Sie aufgefordert werden, die Berechtigung zum Kopieren der Datei zu erteilen.

Drücken Sie die Schaltfläche Weiter und die Datei wird als Notizblock erstellt - Copy.exe. Klicken Sie mit der linken Maustaste auf diese Datei und drücken Sie die F2-Taste auf Ihrer Tastatur und löschen Sie jetzt den Notizblock - Copy.exe Dateiname und geben Sie perfc ein.
Sobald der Dateiname in perfc geändert wurde, drücken Sie die Eingabetaste auf Ihrer Tastatur. Sie erhalten nun eine Eingabeaufforderung, ob Sie sicher sind, dass Sie sie umbenennen möchten.

Klicken Sie auf die Schaltfläche Ja. Windows fragt erneut nach der Berechtigung, eine Datei in diesem Ordner umzubenennen. Klicken Sie auf Weiter.
Jetzt, da die perfc-Datei erstellt wurde, müssen wir sie nur lesen. Dazu klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie Eigenschaften:

Das Eigenschaften-Menü für diese Datei wird jetzt geöffnet. Am unteren Rand befindet sich ein Kontrollkästchen mit der Bezeichnung Nur Lesen. Setzen Sie ein Häkchen hinein.

Klicken Sie nun auf die Schaltfläche Übernehmen und dann auf die Schaltfläche OK. Das Fenster Eigenschaften sollte geschlossen werden und Ihr Computer sollte nun gegen die NotPetya / SortaPetya / Petya Ransomware geimpft werden.

Wie man Ransomware-Angriffe verhindert

  • Sichere deine Dateien

Der größte Schaden, den ein Ransomware-Angriff erleidet, ist der Verlust von Dateien, einschließlich Bildern und Dokumenten.

Der beste Schutz gegen Ransomware besteht darin, alle Informationen und Dateien auf Ihren Geräten in einem vollständig separaten System zu sichern. Ein guter Ort, um dies zu tun, ist auf einer externen Festplatte, die nicht mit dem Internet verbunden ist. Das bedeutet, wenn Sie einen Angriff erleiden, werden Sie keine Informationen an die Hacker verlieren.

Unternehmen speichern oft Kopien ihrer Daten auf externen Servern, die nicht betroffen sind, wenn das Hauptnetzwerk angegriffen wird.

  • Seien Sie misstrauisch gegenüber E-Mails, Websites und Apps

Damit Ransomware funktioniert, müssen Hacker schädliche Software auf einen Computer des Opfers herunterladen. Dies wird verwendet, um den Angriff zu starten und Dateien zu verschlüsseln.

Die häufigste Möglichkeit, die Software auf dem Gerät eines Opfers zu installieren, ist Phishing-E-Mails, bösartige Werbung auf Websites und fragwürdige Apps und Programme.

Die Menschen sollten immer vorsichtig sein, wenn sie unerwünschte E-Mails öffnen oder Websites besuchen, mit denen sie nicht vertraut sind. Laden Sie niemals eine App herunter, die nicht von einem offiziellen Store verifiziert wurde, und lesen Sie die Testberichte, bevor Sie Programme installieren.

  • Verwenden Sie ein Antivirenprogramm

Eine uralte Sicherheitshinweise für den Computer, Antivirenprogramme können verhindern, dass Ransomware auf Computer heruntergeladen wird, und kann es finden, wenn es so ist.

Die meisten Antivirenprogramme können Dateien scannen, um festzustellen, ob sie Ransomware enthalten können, bevor sie heruntergeladen werden. Sie können geheime Installationen vor bösartigen Anzeigen blockieren, wenn Sie im Internet surfen, und nach Malware suchen, die sich möglicherweise bereits auf einem Computer oder Gerät befindet.

Installieren Sie immer Updates!

Um unsere AppScanGuard zu aktualisieren, folgen Sie bitte den folgenden Schritten:

Schritt 1: Bewegen Sie die Maus über den Pfeil nach oben in der Taskleiste neben der Uhr und klicken Sie darauf, um alle laufenden Apps anzuzeigen.

Schritt 2: Suchen Sie dasScanGuard Symbol und klicken Sie mit der rechten Maustaste darauf.

Schritt 3: Klicken Sie auf "Nach Updates suchen"


Unternehmen veröffentlichen häufig Software-Updates, um Schwachstellen zu beheben, die zur Installation von Ransomware ausgenutzt werden können. Es ist daher ratsam, immer die neueste Version einer Software herunterzuladen, sobald diese verfügbar ist.


  • Bezahl niemals das Lösegeld

Opfer von Ransomware-Attacken sollten niemals die Gebühr bezahlen, da sie Angreifer ermutigen und nicht dazu führen, dass Dateien wiederhergestellt werden. Es gibt einige Programme, mit denen Dateien entschlüsselt werden können. Oder, wenn Sie eine Sicherung haben, können Sie Ihr Gerät daraus wiederherstellen.

  • Was tun, wenn Sie infiziert sind!

Sie wissen sofort, ob Sie infiziert sind - Sie werden von einem Popup-Bildschirm mit der Aufschrift "Ooops, Ihre wichtigen Dateien werden verschlüsselt" begrüßt.

Und von "wichtig" sprechen sie über Ihre am häufigsten verwendeten Dateien - einschließlich MP3-Audios und MP4- und AVI-Videos; .png und .jpg Bilder; und .doc und .txt Dokumente. Der Wurm zielt auch auf alle Sicherungsdateien, die Sie erstellt haben, sodass Sie nicht einmal ältere, sichere Versionen wiederherstellen können.

Analysten sagten, Sie sollten nicht auf die Schaltflächen "Scheckzahlung" oder "Entschlüsseln" in der Popup-Nachricht klicken.

Stattdessen - wenn Sie in der Lage sind - den Microsoft-Patch MS17-010 herunterzuladen und zu installieren, der auf Windows-Systemen funktionieren sollte, die bis Vista zurückgehen.

Microsoft Patch Download: Hier klicken


Cyber Attack Timeline