Löscht Petya/NotPetya Daten? Nein, es wird anders vorgegangen.

von Julie Splinters - -

Petna/NotPetya lässt IT-Experten weiter rätseln

Ähnlich wie beim Angriff von WannaCry muss man auch nach der Attacke von Petya/ExPetr/NotPetya Wege finden, wie man die Situation wieder in Ordnung bringt. Obwohl der Angriff von Petya ein nicht ganz so großes Ausmaß wie bei WannaCry hatte, sind die Konsequenzen ernster. Cybersicherheitsspezialisten konnten schon nach kurzer Zeit einen Decrypter für WannaCry erstellen. Im Falle von Petya/NotPetya ist dies leider eher unwahrscheinlich.

Neue Fakten enthüllt:

Am 27. Juni 2017 wurde eine Schadsoftware im Umlauf gebracht, die den Eindruck erweckte als wäre sie eine neue Version von Petya. Nähere Untersuchungen haben jedoch folgendes ergeben:

  • Die als NotPetya/Petya.A/Petrwrap bezeichnete Schadsoftware ist eine Variation von Petya mit einem komplett neuüberschriebenen Quellcode.
  • Statt dem Betriebssystem Windows wird der Virus geladen.
  • Der Virus greift die gleichen Schwachstellen wie bei Petya an.
  • Es wird ein Lösegeld in Höhe von 300 USD gefordert.
  • Der betroffene Computer erhält keine ID.

Auch wenn der Quellcode völlig verschieden ist, verhält sich der Virus ähnlich wie die originale Version von Petya und modifiziert die Boot-Einstellungen, wodurch statt Windows die Schadsoftware geladen wird.

Darüber hinaus ging aus neuen Berichten hervor, dass die Schadsoftware irgendwann die Benutzerdateien löscht. Diese Mutmaßungen wurden jedoch zügig dementiert. Die Schadsoftware ist eine Cyberattacke und keine Erpressersoftware. Weder die originale Version von Petya noch ihre Abkömmlinge verzichten auf die Kommunikation mit ihren C&C-Servern. Petya/NotPetya hingegen hat keine Kontaktaufnahme zu C&C-Servern implementiert.

Der Virus ordnet den betroffenen Computern daher auch keine Identifizierungsnummern zu. Es ist daher nicht möglich einen passenden Entschlüsselungsschlüssel zu bekommen. Hinzu kommt, dass die Hauptdomain der E-Mail-Adresse aufgelöst wurde. Aus diesen Gründen sollten Opfer davon absehen das Lösegeld zu bezahlen.

Die Infizierungsquelle liegt in der Ukraine

Obwohl die virtuelle Bedrohung weltweit zig internationale Unternehmen und Firmen infiziert hat, zeigt sich eine eindeutige Präferenz für die Ukraine. Das Land war in letzter Zeit leider ein häufiges Ziel von Cyberkriminellen.

Untersuchungen haben überraschende Ergebnisse geliefert. Die Quelle von NotPetya/Petna/Petya.A ist der ukrainische Buchhaltungssoftwareentwickler M.E. Doc. IT-Experten scheinen Beweise dafür zu haben, dass die Angreifer das Computersystem der Firma infiltriert und das Update-Netzwerk befallen haben.

Jedes Partnerunternehmen, das die Updates installiert hat, hat sich folglich mit der Schadsoftware infiziert. Neu entdeckte Features deuten darauf hin, dass die Schadsoftware der Höhepunkt einer größeren politischen Cyberkampagne gegen die Ukraine ist. Direkt nachdem WannaCry ins Rampenlicht geriet, hat die Schadsoftware XData noch größeren Schaden angerichtet.

Seit dem Auftauchen von Petya/NotPetya sind mehrere erstaunliche Tatsachen an das Tageslicht gekommen. Weitere Untersuchungen werden hoffentlich nicht nur interessantere Fakten liefern, sondern auch Informationen darüber, wie man die Infizierung permanent im Zaum halten kann.

Über den Autor
Julie Splinters
Julie Splinters - Expertin im Bereich Schadsoftwareentfernung

Julie Splinters ist die Nachrichtenredakteurin von DieViren. Ihr Bachelor war Anglistik, aber ihr früheres Interesse an Ostasien und insbesondere Japan veranlasste sie dazu Ostasienwissenschaften zu studieren.

Julie Splinters kontaktieren
Über die Firma Esolutions

In anderen Sprachen
Dateien
Software