Originalbeitrag von Trend Micro
Ein breit angelegter Ransomware-Angriff durch eine Variante der Petya-Erpressersoftware trifft verschiedene Nutzer vor allem in Europa. Die Variante, die Trend Micro bereits als RANSOM_PETYA.SMA erkannt hat, ist dafür bekannt, sowohl den EternalBlue-Exploit als auch das PsExec-Tool als Infektionsvektor zu nutzen. Anwender und Unternehmen sind gut beraten, die folgenden Gegenmaßnahmen zu ergreifen, um eine Infektion zu vermeiden:
- Aufspielen des Sicherheits-Patch MS17-010
- Deaktivieren des TCP-Port 445
- Einschränken der Konten mit Administrator Gruppenzugang.
Trend Micro bietet Kunden Schutz gegen diese Bedrohung über Predictive Machine Learning und weitere wichtige Ransomware-Schutzfunktionalität in Trend Micro XGen™ Security.
Infektionskette
Wie bereits erwähnt, nutzt die Ransomware für das ursprüngliche Eindringen ins System das PsExec-Tool, ein offizielles Microsoft-Werkzeug, das dazu dient, Prozesse auf Remote-Systemen auszuführen. Des Weiteren nutzt die Schadsoftware den EternalBlue-Exploit, der bereits in WannaCry-Angriffen eingesetzt wurde und der eine Schwachstelle in Server Message Block (SMB) v1 ausnutzt. Sobald die Schadsoftware im System ist, setzt diese Petya-Variante auf den rundll32.exe-Prozess, um sich selbst auszuführen. Die tatsächliche Verschlüsselung wird dann von einer Datei perfc.dat durchgeführt, die im Windows-Verzeichnis vorhanden ist.
Die Ransomware fügt danach eine termingebundene Aufgabe hinzu, die das System nach mindestens einer Stunde neu bootet. Währenddessen wird auch der Master Boot Record (MBR) modifiziert, sodass der Verschlüsselungsmechanismus die Verschlüsselung durchführt und eine entsprechende Lösegeldforderung anzeigt. Zuerst wird eine gefälschte CHKDSK-Nachricht angezeigt, während die Verschlüsselung von statten geht. Die Extensions der verschlüsselten Dateien werden nicht geändert. Mehr als 60 Datei-Extensions sind Ziel der Verschlüsselung, alle gehören zu Dateitypen, die in Unternehmensumgebungen eingesetzt werden. Es fehlen Bilder- und Video-Dateien.
Bild 1. Infektionsdiagramm
Bild 2. Angezeigte Ransomware-Nachrichten
Es gibt noch weitere Ähnlichkeiten zu WannaCry. Wie schon bei dieser Ransomware ist auch im aktuellen Fall der Prozess relativ einfach. Die Schadsoftware nutzt eine hartcodierte Bitcoin-Adresse, sodass die Entschlüsselung sehr arbeitsaufwändig ist. Dies unterscheidet die aktuelle Petya-Variante von früheren. Das Lösegeld für jeden Nutzer beträgt 300 $, und bislang wurden 7.500 $ auf die Bitcoin-Adresse eingezahlt. Wie bei jedem Angriff sollte kein Lösegeld gezahlt werden, vor allem in diesem Fall, denn das Mail-Konto aus der Nachricht ist nicht mehr aktiv. Technische Details zu PsExec und Windows Management Information Command-line (WMIC) liefert der Originalbeitrag.
Trend Micro-Lösungen
Weitere Informationen zu den Lösungen von Trend Micro gibt es hier.
Die folgenden SHA256-Hashes gibt es in Verbindung mit dieser Bedrohung:
- 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
- 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1