Was ist Petya- und NotPetya-Ransomware?

Wie verbreitet sich der Petya-Virus und wie infiziert er Geräte?

Petya nutzt die Schwachstelle CVE-2017-0144 in der Microsoft-Implementierung des SMB-Protokolls (Server Message Block) aus. Nach erfolgreicher Ausnutzung der Schwachstelle wird bei diesem Angriff unter anderem der Master Boot Record verschlüsselt. Anschließend sendet die Malware eine Nachricht an den Benutzer und fordert zu einem Systemneustart auf. Danach ist kein Zugriff auf das System mehr möglich. Das Betriebssystem kann keine Dateien mehr finden, und es gibt keine Möglichkeit, die Dateien zu entschlüsseln, was Petya weniger zu einer Ransomware – für die es zunächst gehalten wurde – als vielmehr zu einem Wiper macht.

Die neue Variante verfügt jetzt über einen Verteilungsmechanismus, wie wir ihn auch bei WannaCry im Mai 2017 beobachtet hatten. Am 14. März hatte Microsoft eine Reihe kritischer Patches veröffentlicht, um die zugrunde liegende Schwachstelle in unterstützten Windows-Versionen zu beheben. Diese Patches wurden jedoch möglicherweise noch nicht bei allen Unternehmen implementiert.

Wie schütze ich mich vor Petya?

Der beste Weg zum Schutz vor Petya sind proaktive Maßnahmen. Der Petya-Virus soll sich über Phishing- oder Spam-E-Mails verbreiten. Überprüfen Sie daher den Inhalt einer E-Mail auf Unbedenklichkeit. Fahren Sie mit der Maus über einen Link, und überprüfen Sie, ob dieser zu einer vertrauenswürdigen URL führt. Wenn Sie sich über den Inhalt oder die Quelle einer E-Mail nicht sicher sind, führen Sie eine schnelle Online-Suche nach anderen Instanzen dieser Kampagne durch. Versuchen Sie herauszufinden, was diese Instanzen Ihnen über die Unbedenklichkeit der E-Mail sagen könnten. Außerdem sollten Sie eine vollständige Sicherung des Geräts durchführen. Wenn ein Computer mit dem Petya-Virus infiziert wird, können die Daten möglicherweise nicht mehr wiederhergestellt werden. Sie sollten Ihre Daten daher auf einer externen Festplatte, in der Cloud oder mit einer anderen externen Speicheroption sichern. Am wichtigsten ist jedoch, dass Sie System- und Anwendungsaktualisierungen immer sofort implementieren, sobald diese verfügbar sind, da Petya und ähnliche Angriffe nicht gepatchte Schwachstellen ausnutzen, um Systeme zu kompromittieren.

Was ist der Unterschied zwischen Petya und NotPetya?

Die Petya-Malware ist seit längerer Zeit im Umlauf, doch beim Angriff vom Juni 2017 wurde eine neue Variante freigesetzt. Diese Variante wird manchmal auch als NotPetya bezeichnet, da das Verhalten der Malware geändert wurde. Petya und NotPetya verwenden unterschiedliche Verschlüsselungsschlüssel und verfügen über individuelle Neustart-Methoden sowie Anzeigen und Hinweise. Beide sind jedoch gleichermaßen destruktiv.

Geschichte und Entwicklung der Petya-Ransomware

Petya wurde im März 2016 von Sicherheitsforschern entdeckt, die feststellten, dass die Malware zwar weniger Infektionen erreichte als andere damals aktive Virenstämme, der Virus in seiner Wirkungsweise aber dennoch einzigartig war. Das brachte viele Branchenexperten dazu, den raffinierten Angriff im Auge zu behalten. Später im gleichen Jahr kam eine weitere Petya-Variante auf den Markt, die eine zusätzliche Funktion für den Fall enthielt, dass der Virus keinen Administratorzugriff auf einen Computer erlangen konnte.

Ein kurzer Zeitsprung zum Juni 2017: Der neueste Petya-Stamm taucht auf, der Unternehmen auf der ganzen Welt innerhalb weniger Stunden zum Stillstand bringt. Aufgrund der erweiterten Funktionen der neuen Variante nennen einige Sicherheitsexperten den Virus NotPetya.

Nächste Schritte

Wenn Sie die oben beschriebenen proaktiven Maßnahmen bereits ergriffen haben, sollten Sie vor Petya/NotPetya geschützt sein. Falls Sie jedoch von Petya oder einer anderen Art von Ransomware betroffen sind, besuchen Sie NoMoreRansom.org. Wichtig: Zahlen Sie niemals das Lösegeld, denn wenn Sie es mit Petya zu tun haben, erhalten Sie Ihre Dateien nicht zurück.