Groß angelegter Ransomware-Angriff trifft Europa hart

Originalbeitrag von Trend Micro

Ein breit angelegter Ransomware-Angriff durch eine Variante der Petya-Erpressersoftware trifft verschiedene Nutzer vor allem in Europa. Die Variante, die Trend Micro bereits als RANSOM_PETYA.SMA erkannt hat, ist dafür bekannt, sowohl den EternalBlue-Exploit als auch das PsExec-Tool als Infektionsvektor zu nutzen. Anwender und Unternehmen sind gut beraten, die folgenden Gegenmaßnahmen zu ergreifen, um eine Infektion zu vermeiden:

  • Aufspielen des Sicherheits-Patch MS17-010
  • Deaktivieren des TCP-Port 445
  • Einschränken der Konten mit Administrator Gruppenzugang.

Trend Micro bietet Kunden Schutz gegen diese Bedrohung über Predictive Machine Learning und weitere wichtige Ransomware-Schutzfunktionalität in Trend Micro XGen™ Security.

Infektionskette

Wie bereits erwähnt, nutzt die Ransomware für das ursprüngliche Eindringen ins System das PsExec-Tool, ein offizielles Microsoft-Werkzeug, das dazu dient, Prozesse auf Remote-Systemen auszuführen. Des Weiteren nutzt die Schadsoftware den EternalBlue-Exploit, der bereits in WannaCry-Angriffen eingesetzt wurde und der eine Schwachstelle in Server Message Block (SMB) v1 ausnutzt. Sobald die Schadsoftware im System ist, setzt diese Petya-Variante auf den rundll32.exe-Prozess, um sich selbst auszuführen. Die tatsächliche Verschlüsselung wird dann von einer Datei perfc.dat durchgeführt, die im Windows-Verzeichnis vorhanden ist.

Die Ransomware fügt danach eine termingebundene Aufgabe hinzu, die das System nach mindestens einer Stunde neu bootet. Währenddessen wird auch der Master Boot Record (MBR) modifiziert, sodass der Verschlüsselungsmechanismus die Verschlüsselung durchführt und eine entsprechende Lösegeldforderung anzeigt. Zuerst wird eine gefälschte CHKDSK-Nachricht angezeigt, während die Verschlüsselung von statten geht. Die Extensions der verschlüsselten Dateien werden nicht geändert. Mehr als 60 Datei-Extensions sind Ziel der Verschlüsselung, alle gehören zu Dateitypen, die in Unternehmensumgebungen eingesetzt werden. Es fehlen Bilder- und Video-Dateien.



Bild 1. Infektionsdiagramm


Bild 2. Angezeigte Ransomware-Nachrichten

Es gibt noch weitere Ähnlichkeiten zu WannaCry. Wie schon bei dieser Ransomware ist auch im aktuellen Fall der Prozess relativ einfach. Die Schadsoftware nutzt eine hartcodierte Bitcoin-Adresse, sodass die Entschlüsselung sehr arbeitsaufwändig ist. Dies unterscheidet die aktuelle Petya-Variante von früheren. Das Lösegeld für jeden Nutzer beträgt 300 $, und bislang wurden 7.500 $ auf die Bitcoin-Adresse eingezahlt. Wie bei jedem Angriff sollte kein Lösegeld gezahlt werden, vor allem in diesem Fall, denn das Mail-Konto aus der Nachricht ist nicht mehr aktiv. Technische Details zu PsExec und Windows Management Information Command-line (WMIC) liefert der Originalbeitrag.

Trend Micro-Lösungen

Weitere Informationen zu den Lösungen von Trend Micro gibt es hier.

Die folgenden SHA256-Hashes gibt es in Verbindung mit dieser Bedrohung:

  • 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
  • 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*