Petya: Microsoft analysiert die neue Ransomware-Attacke

Nachdem die Ransomware WannaCry Mitte Mai äußerst erfolgreich tausende Systeme weltweit befallen hatte, war es nur eine Frage der Zeit, bis es zu neuen Angriffen kommt, die auf die gleiche Lücke zielen. Seit Dienstag rollt die nächste Welle, dieses Mal handelt es sich um einen Ableger der Schadsoftware Petya, die von der Ukraine aus auf Welttournee ging und inzwischen in über 60 Ländern für kleine, mittlere und größere Schäden gesorgt hat.

Die Sicherheitsexperten von Microsoft haben sich dem Thema angenommen und eine Erklärung veröffentlicht, welche Maßnahmen gegen die weitere Ausbreitung unternommen wurden. So wurden die Signaturen der hauseigenen Antivirus-Programme Defender und Security Essentials aktualisiert, um die neue Petya-Variante zu erkennen und aufzuhalten. Von Haus aus geschützt sind Unternehmen, welche auf die Windows Defender Advanced Threat Protection (ATP) setzen – deren verhaltensbasierte Erkennung stoppt den Schädling ohne weiteres Zutun.

Der Angriff zielt auf eine Lücke, die mit dem Sicherheitspatch MS17-010 im März geschlossen wurde. Nach der WannaCry-Attacke hatte Microsoft außerdem einen Patch für Windows XP veröffentlicht, so dass grundsätzlich alle Windows-Computer geschützt sind, sofern sie mit allen aktuellen Updates versorgt sind.

Weil das nicht der Fall ist, konnte ein infizierter Update-Prozess der ukrainischen Software MEDoc die Attacke in Gang setzen. Weil die neue Petya-Variante über die Fähigkeiten eines Wurms verfügt, genügt ein einziger infizierter Computer in einem Netzwerk, um von dort aus alle PCs und Server anzugreifen, die sich im selben Netzwerk befinden. Dabei wird ein weiterer Exploit ausgenutzt, der die EternalBlue bzw. EternalRomance getaufte Schwachstelle im SMBv1-Protokoll angreift (die ebenfalls schon gepatcht ist). Die erfolgreich infizierten PCs werden verschlüsselt und die Nutzer werden zur Zahlung eines Lösegelds aufgefordert.

Die Lösung ist so alt wie simpel: Windows-Computer, die mit allen aktuellen Updates ausgestattet sind, können von Petya nicht infiziert werden. Microsoft empfiehlt außerdem, dass SMBv1-Protokoll zu deaktivieren, sofern es nicht explizit benötigt wird. Mit dem Fall Creators Update wir dieses Protokoll ja dann standardmäßig deaktiviert bzw. die Unterstützung wird komplett entfernt.

Artikel im Forum diskutieren (30)

Über den Autor
Martin Geuß
  • Martin Geuß auf Facebook
  • Martin Geuß auf Twitter
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als zwölf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!
Nach oben