Dieser Angriff ist beunruhigend, weil es der zweite große Ransomware-Angriff in zwei Monaten ist, der Unternehmen auf der ganzen Welt getroffen hat. Sie erinnern sich vielleicht daran, dass im Mai der National Health Service (NHS) in Großbritannien von Malware namens WannaCry infiziert wurde. Dieses Programm betraf den NHS und zahlreiche andere Organisationen auf der ganzen Welt. WannaCry wurde der Öffentlichkeit zum ersten Mal enthüllt, als im April von Hackern, die als Shadow Brokers bekannt waren, durchgesickerte Dokumente über den NHS veröffentlicht wurden.
Die WannaCry-Software, auch WannaCrypt genannt, betraf 230.000 Computer, die sich in mehr als 150 Ländern auf der ganzen Welt befanden. Neben dem NHS wurden auch Telefónica, eine spanische Telefongesellschaft, und Staatsbahnen in Deutschland angegriffen.
Ähnlich wie WannaCry verbreitet sich "Petya" schnell in Netzwerken, die Microsoft Windows verwenden. Die Frage ist jedoch, was ist das? Wir wollen auch wissen, warum es passiert und wie es gestoppt werden kann.
Was ist Ransomware?
Das erste, was Sie verstehen müssen, ist die Definition von Ransomware . Im Grunde ist Ransomware jede Art von Malware, die Ihren Zugriff auf einen Computer oder Daten blockiert. Wenn Sie dann versuchen, auf diesen Computer oder die Daten zuzugreifen, können Sie nicht darauf zugreifen, wenn Sie kein Lösegeld zahlen. Ziemlich böse, und ausgesprochen gemein!
Wie funktioniert Ransomware?
Es ist auch wichtig zu verstehen, wie Ransomware funktioniert. Wenn ein Computer mit Ransomware infiziert ist, wird er verschlüsselt. Dies bedeutet, dass Dokumente auf Ihrem Computer gesperrt sind und Sie sie nicht öffnen können, ohne ein Lösegeld zu zahlen. Um die Dinge noch komplizierter zu machen, muss das Lösegeld in Bitcoin, nicht in bar, für einen digitalen Schlüssel bezahlt werden, den Sie zum Entsperren der Dateien verwenden können. Wenn Sie keine Sicherungskopie Ihrer Dateien haben, haben Sie zwei Möglichkeiten: Sie können das Lösegeld bezahlen, das in der Regel ein paar hundert bis mehrere tausend Dollar beträgt, oder Sie verlieren den Zugriff auf alle Ihre Dateien.
Wie funktioniert die "Petya" Ransomware?
Die "Petya" Ransomware funktioniert wie die meisten Ransomware. Es übernimmt einen Computer und bittet dann um 300 $ in Bitcoin. Dies ist eine bösartige Software, die sich schnell über ein Netzwerk oder eine Organisation verbreitet, sobald ein einzelner Computer infiziert ist. Diese spezielle Software verwendet die EternalBlue-Schwachstelle, die Teil von Microsoft Windows ist. Obwohl Microsoft nun einen Patch für die Sicherheitslücke veröffentlicht hat, hat nicht jeder ihn installiert. Die Ransomware wird möglicherweise auch über Windows-Verwaltungstools verbreitet, auf die zugegriffen werden kann, wenn auf dem Computer kein Kennwort vorhanden ist. Wenn die Malware nicht in eine Richtung gelangen kann, versucht sie automatisch eine andere, und so hat sie sich unter diesen Organisationen so schnell verbreitet.
So verbreitet sich "Petya" viel einfacher als WannaCry, so Cyber-Sicherheitsexperten.
Gibt es eine Möglichkeit, sich vor "Petya" zu schützen?
Sie wundern sich wahrscheinlich an dieser Stelle, ob es einen Weg gibt, sich vor "Petya" zu schützen. Die meisten großen Antivirus-Unternehmen haben behauptet, dass sie ihre Software aktualisiert haben, um nicht nur die Malware "Petya" zu erkennen, sondern sie auch zu schützen. Zum Beispiel bietet Symantec-Software Schutz vor "Petya", und Kaspersky hat seine gesamte Software aktualisiert, um Kunden zu helfen, sich vor Malware zu schützen. Darüber hinaus können Sie sich schützen, indem Sie Windows auf dem neuesten Stand halten. Wenn Sie nichts anderes tun, installieren Sie zumindest den kritischen Patch, den Windows im März veröffentlicht hat, der gegen diese EternalBlue-Schwachstelle verteidigt. Dies stoppt eine der wichtigsten Möglichkeiten, sich zu infizieren, und schützt auch vor zukünftigen Angriffen.
Eine weitere Verteidigungslinie für den Malware-Ausbruch "Petya" ist ebenfalls verfügbar und wurde erst kürzlich entdeckt. Die Malware überprüft das Laufwerk C: \ auf eine schreibgeschützte Datei namens perfc.dat. Wenn die Malware diese Datei findet, wird die Verschlüsselung nicht ausgeführt. Auch wenn Sie diese Datei haben, verhindert sie jedoch nicht die Malware-Infektion. Es kann die Malware weiterhin auf andere Computer in einem Netzwerk verteilen, selbst wenn der Benutzer sie nicht auf ihrem Computer bemerkt.
Warum wird diese Malware "Petya" genannt?
Sie könnten sich auch fragen, warum diese Malware "Petya" heißt. Eigentlich heißt sie nicht "Petya". Stattdessen scheint sie viel Code mit einer alten Ransomware zu teilen, die "Petya" genannt wurde. Innerhalb der Stunden Nach dem ersten Ausbruch bemerkten Sicherheitsexperten jedoch, dass diese beiden Ransomware nicht so ähnlich waren wie ursprünglich angenommen. Also haben die Forscher von Kaspersky Lab die Malware als "NotPetya" (das Original!) Sowie andere Namen wie "Petna" und "Pneytna" bezeichnet. Andere Forscher nannten das Programm auch andere Namen, darunter "Goldeneye" Bitdefender, aus Rumänien, begann es zu nennen. "Petya" war jedoch schon festgefahren.
Wo hat "Petya" angefangen?
Fragst du dich, wo "Petya" angefangen hat? Es scheint durch einen Update-Mechanismus von Software, die in einem bestimmten Buchhaltungsprogramm eingebaut ist, begonnen zu haben. Diese Unternehmen arbeiteten mit der ukrainischen Regierung zusammen und verlangten von der Regierung, dieses spezielle Programm zu nutzen. Aus diesem Grund sind so viele Unternehmen in der Ukraine davon betroffen. Zu den Organisationen gehören Banken, die Regierung, das U-Bahn-System in Kiew, der große Flughafen in Kiew und staatliche Energieversorgungsunternehmen.
Das System, das die Strahlung in Tschernobyl überwacht, wurde ebenfalls von der Ransomware beeinflusst und wurde schließlich offline geschaltet. Dies zwang die Beschäftigten, manuelle Handgeräte zu verwenden, um die Strahlung in der Ausschlusszone zu messen. Darüber hinaus gab es eine zweite Welle von Malware-Infektionen, die durch eine Kampagne mit E-Mail-Anhängen ausgelöst wurde, die mit Malware gefüllt waren.
Wie weit verbreitet sich die "Petya" -Infektion?
Die "Petya" Ransomware hat sich weit verbreitet und hat das Geschäft von Unternehmen in den USA und in Europa gestört. So waren beispielsweise WPP, eine Werbefirma in den USA, Saint-Gobain, eine Baustofffirma in Frankreich, sowie Rosneft und Evraz, Öl- und Stahlfirmen in Russland, betroffen. Ein Unternehmen aus Pittsburgh, Heritage Valley Health Systems, wurde ebenfalls von der Malware "Petya" getroffen. Das Unternehmen betreibt Krankenhäuser und Pflegeeinrichtungen in ganz Pittsburgh.
Im Gegensatz zu WannaCry versucht die "Petya" -Malware jedoch, sich schnell durch Netzwerke zu verbreiten, auf die sie zugreift, aber sie versucht nicht, sich außerhalb des Netzwerks zu verbreiten. Diese Tatsache könnte potenziellen Opfern dieser Malware tatsächlich geholfen haben, da sie ihre Verbreitung begrenzt hat. Es scheint also eine Abnahme der Anzahl der Neuinfektionen zu geben.
Was ist die Motivation für Cyberkriminelle, die "Petya" aussenden?
Als "Petya" anfänglich entdeckt wurde, scheint der Ausbruch der Malware lediglich ein Versuch eines Cyberkriminellen gewesen zu sein, von ausgelaufenen Online-Cyberwaffen Gebrauch zu machen. Als Sicherheitsexperten den Malware-Ausbruch von "Petya" ein wenig genauer unter die Lupe nahmen, sagten sie jedoch, dass einige Mechanismen, wie etwa die Art der Bezahlung, ziemlich amateurhaft seien. Daher glauben sie nicht, dass ernsthafte Cyberkriminelle dahinter stecken.
Erstens enthält die Lösegeldforderung der Malware "Petya" genau die gleiche Zahlungsadresse für jedes Malware-Opfer. Das ist seltsam, weil die Profis eine benutzerdefinierte Adresse für jedes Opfer erstellen. Zweitens fordert das Programm seine Opfer auf, direkt mit den Angreifern über eine bestimmte E-Mail-Adresse zu kommunizieren, die sofort ausgesetzt wurde, als festgestellt wurde, dass die E-Mail-Adresse für "Petya" -Opfer verwendet wurde. Dies bedeutet, dass selbst wenn eine Person das Lösegeld im Wert von 300 $ bezahlt, sie nicht mit den Angreifern kommunizieren können und außerdem nicht auf den Entschlüsselungsschlüssel zugreifen können, um den Computer oder seine Dateien zu entsperren.
Wer sind die Angreifer?
Cyber-Sicherheitsexperten glauben nicht, dass hinter der Malware "Petya" ein professioneller Cyberkrimineller steckt. Wer ist das? Niemand weiß es zu diesem Zeitpunkt, aber es ist wahrscheinlich, dass die Person oder Personen, die es veröffentlicht haben, wollten, dass die Malware wie eine einfache Ransomware aussieht, aber stattdessen ist sie viel zerstörerischer als eine typische Ransomware. Ein Sicherheitsforscher, Nicolas Weaver, glaubt, dass "Petya" ein böswilliger, zerstörerischer und vorsätzlicher Angriff ist. Ein anderer Forscher, der von Grugq geht, glaubt, dass das Original "Petya" Teil einer kriminellen Organisation war, um Geld zu verdienen, aber dieses "Petya" macht nicht dasselbe. Sie sind sich einig, dass die Malware so entwickelt wurde, dass sie sich schnell ausbreitet und viel Schaden anrichtet.
Wie wir bereits erwähnt haben, wurde die Ukraine von "Petya" ziemlich hart getroffen, und das Land hat seine Finger auf Russland gerichtet. Dies ist nicht verwunderlich, wenn man bedenkt, dass die Ukraine Russland auch für eine Reihe früherer Cyberattacken verantwortlich gemacht hat. Eine dieser Cyberattacken fand 2015 statt und richtete sich gegen das ukrainische Stromnetz. Am Ende hat sie Teile der Westukraine vorübergehend ohne jede Macht verlassen. Russland hat jedoch jede Beteiligung an Cyberangriffen auf die Ukraine bestritten.
Was sollten Sie tun, wenn Sie glauben, dass Sie Opfer von Ransomware sind?
Denkst du, du könntest Opfer eines Ransomware-Angriffs werden? Dieser spezielle Angriff infiziert einen Computer und wartet ungefähr eine Stunde, bevor der Computer spontan neu startet. Versuchen Sie in diesem Fall sofort, den Computer auszuschalten. Dies könnte verhindern, dass die Dateien auf dem Computer verschlüsselt werden. An diesem Punkt können Sie versuchen, die Dateien vom Computer zu entfernen.
Wenn der Computer den Neustart beendet und kein Lösegeld angezeigt wird, bezahlen Sie ihn nicht. Denken Sie daran, dass die E-Mail-Adresse, die zum Sammeln von Informationen von den Opfern verwendet wird, und zum Senden des Schlüssels heruntergefahren wird. Trennen Sie stattdessen den PC vom Internet und dem Netzwerk, formatieren Sie die Festplatte neu und verwenden Sie dann eine Sicherung, um die Dateien neu zu installieren. Stellen Sie sicher, dass Sie Ihre Dateien regelmäßig regelmäßig sichern und Ihre Antivirensoftware immer auf dem neuesten Stand halten.