Ransomware Petya: Systeme mit März-Patch sollten keiner Gefahr ausgesetzt sein - UPDATE

Diskutiere Ransomware Petya: Systeme mit März-Patch sollten keiner Gefahr ausgesetzt sein - UPDATE im Windows 10 News Forum im Bereich Windows 10 Foren; Nach den Vorfällen der Ransomware "WannaCry", welche Mitte Mai für Aufsehen gesorgt haben, soll sich seit gestern ein Ableger davon mit dem Namen...
maniacu22

maniacu22

Erfahrener Benutzer
Threadstarter
Dabei seit
05.05.2014
Beiträge
2.314
Ort
Leipzig
Version
Windows 10 Pro 64 Bit - Build 1709
System
Intel Core i5-3570K, 32 GB RAM, 500 GB Crucial MX200, HIS Radeon HD 5750 Passiv
Nach den Vorfällen der Ransomware "WannaCry", welche Mitte Mai für Aufsehen gesorgt haben, soll sich seit gestern ein Ableger davon mit dem Namen "Petya" in bislang über 60 Ländern, darunter auch Deutschland, ausgebreitet haben. Petya nutzt dabei die gleiche Sicherheitslücke wie WannaCry aus. Diesen Fall haben sich nun die Sicherheitsexperten von Microsoft angenommen, wobei zumindest für die Nutzer Entwarnung gegeben werden konnte, welche auf ihren Systemen stets die aktuellsten Patches installiert haben





UPDATE Vom 29.06.13:55 Uhr

Wie die Kollegen von TheVerge sowie auch heise berichten, soll es sich bei der aktuellen Erpresser-Schadsoftware nicht um Petya handeln, sondern um ein Konstrukt, welches nur vorgibt, Petya zu sei. Aus diesem Grunde sollen Sicherheitsforscher aus aller Welt diese Software nun explizit als NotPetya bezeichnen. Den dahinter stehenden Kriminellen soll es zudem nicht wirklich um Lösegelder gehen, sondern ur darum, möglichst viel Chaos zu erzeugen und hauptsächlich in der Ukraine ansässige Firmen lahmzulegen. Anders als bei der im vergangenen Monat tobenden WannaCry-Schadsoftware soll sich "NotPetya" zunächst über die ukrainische Steuersoftware MeDoc zu verbreiten, welche jedes, in der Ukraine ansässige Unternehmen nutzt, das rechtmäßig Steuern zahlt. Da aber auch viele multinationale Unternehmen wie zum Beispiel das dänische Konglomerat Maersk infiziert worden sind, steht der Software natürlich der Weg außerhalb der Ukraine frei. Interessant ist die Infizierungsform von "NotPetya", welche sich nicht wie bislang über Pishing-Mails oder ein Exploit-Kit verbreiten, sondern ganz geziehlt über ein Software-Update der besagten MeDoc-Steuersoftware.

Wie die Kollegen von heise berichten, soll man seinen Rechner auch gegen Schadsoftware wie NonPetya, Petya, Petna sowie SortaPetya schützen können, indem man bestimmte Dateien im Ordner C:Windows anlegt. Für diesen Vorgang hat der Sicherheitsforscher Lawrence Adams bereits eine Batch-Datei angelegt, die wie folgt aussieht:

@echo off

echo Administrative permissions required. Detecting permissions...
echo.

net session >nul 2>&1

if %errorLevel% == 0 (
if exist C:Windowsperfc (
echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
echo.
) else (
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:Windowsperfc
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:Windowsperfc.dll
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:Windowsperfc.dat

attrib +R C:Windowsperfc
attrib +R C:Windowsperfc.dll
attrib +R C:Windowsperfc.dat

echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
echo.
)
) else (
echo Failure: You must run this batch file as Administrator.
)

pause
Man sollte allerdings beachten, dass auch diese Batch-Datei alleine nicht in der Lage sein kann, künftige Ransomware-Angriffe erfolgreich aufhalten zu können, da einerseits mit neueren Versionen der Trojaner gerechnet werden muss, die dann diesen Kill Switch gekonnt ignorieren können, andererseits auf einem System ohne März-Patch mit den geschlossenen ETERNALBLUE-Sicherheitslücken auch keine Wirkung zeigen.

Der beste Schutz gegen Bedrohungen dieser Art besteht laut Sicherheitsexperten aber nur im erstellen von regelmäßigen Systembackups, die auf einem extra geschützten Server bzw. NAS liegen.


Original-Artikel vom 28.06.2017 - 18:32 Uhr

Ja, seit gestern treibt sich nach der bereits Mitte Mai verbreiteten Ransomware "WannaCry" ein Ableger derer mit dem Namen "Peyta" herum, welche mittlerweile in über 60 Ländern für kleinen, mittleren aber auch größeren Schaden sorgt. In einer Erklärung von Microsofts Sicherheitsexperten heißt es aber, dass einerseits Maßnahmen gegen eine weitere Ausbreitung unternommen werden und dass sich Nutzer eines Windows-Systems, welches die neuesten Updates enthalten - in diesem Fall den März-Patch - sich keine Sorgen zu machen brauchen, dass ihr Windows befallen werden könnte. In diesem März-Patch sind bereits die Signaturen der hauseigenen Antivirus-Programme Defender sowie Security Essentials insoweit aktualisiert worden, dass auch die neue Petya-Variante im Fall der Fälle erkannt und aufgehalten werden kann.

Auch Unternehmen, welche auf die Windows Defender Advanced Thread Protection (ATP) setzen, sind vor Petya geschützt, da deren verhaltensbasierte Erkennung den Schädling ohne weiteres Zutun aufhalten kann. Als Sicher gelten die Rechner, die mit dem im März zur Verfügung gestellten Sicherheitspatch MS17-010 ausgestattet sind.

Ist der Rechner nicht ausreichen geschützt, zielt Petya auf die gleiche Lücke wie schon WannaCry, um sämtliche Daten eines Rechners sowie derer, die sich im gleichen Netzwerk befinden, zu infizieren und verschlüsseln. Um die Daten wieder entschlüsseln zu können, müsste wie schon bei WannaCry ein "Lösegeld" gezahlt werden, dessen Höhe unterschiedlich ausfällt.


Wer dennoch ein ungutes Gefühl bei der Sache hat, kann auf anraten von Microsoft auch das SMBv1-Protokoll deaktivieren, insofern dieses nicht benötigt wird. Eine weitere Möglichkeit besteht auch darin, im Router selbst oder in der Firewall eine neue Regel zu erstellen, welche dann den eingehenden SMB-Traffic über die Ports 139 und 445 blockiert.




Meinung des Autors: Wichtig ist es, seinen PC möglichst immer up-to-date zu halten. Das muss jetzt nicht in einer täglichen Klick-Orgie zum Überprüfen auf neue Updates ausarten, aber aller 14 Tage sollte man auch als "normaler" Windows-Anwender mal überprüfen, ob Microsoft neue Sicherheitspatches und Updates bereit hält und diese auch installieren. Sein System aufgrund eines Virus neu aufsetzen zu müssen und dabei im worst case einen Großteil der Daten verlieren, sollte nun bei keinem auf dem Wunschzettel stehen.
 
E

EynSirMarc

Ransomware Petya: Systeme mit März-Patch sollten keiner Gefahr ausgesetzt sein

Ich installiere jeden Patch, ich schau nicht ob ich den Brauche, Upgrade lieber eine Woche vordran, meine Anwendungen sind immer Aktuell und wenns es keine Updates mehr gibt Fliegen die von dem PC Und Software Upgrade, alle Treiber alle Wochen einmal überprüft ob es neue gibt. Hardware wo es keine aktuellen Treiber mehr gibt haben Pech gehabt und fliegen(weil auch alter Treiber sind Einfallstore), wobei ich kaufe eigentlich nur Business Geräte weil die halten länger und Treiber werden länger aktuell gehalten. mein HP laser 4650 aus dem 2004 immer noch Treiber auch für Win 10 64bit.
Ich mag kein Geiz ist Geil wenns um Sicherheit geht.
Ich warte auch nicht Auf den WinUpdater Lade das Update manuel herunter und installiere sobald es bei MS erscheint.
 
Zuletzt bearbeitet:
M

Mediamann

Erfahrener Benutzer
Dabei seit
25.05.2015
Beiträge
1.141
Ort
Umgebung Ulm
Version
Windows 10 Pro 2004
System
2 Desktop - 1 Tablet
Dann kann ich nicht verstehen warum Firmen wie Beiersdorf sich nicht schützen. Dann müssten sie schon nach WannaCry nichts unternommen haben !
 
E

EynSirMarc

Das Problem wird wohl sein, das eben gerade Firmen ja gar nicht immer aktuell sein können, der Admin wäre ja 24 Stunden am rennen.
also wenn ich eine Firma hätte, würde nur Server/Thin Client herschen.
Ein Klick alle 100 Client aktuell. ;-)
 
Zuletzt bearbeitet:
Thema:

Ransomware Petya: Systeme mit März-Patch sollten keiner Gefahr ausgesetzt sein - UPDATE

Ransomware Petya: Systeme mit März-Patch sollten keiner Gefahr ausgesetzt sein - UPDATE - Ähnliche Themen

  • OneDrive for Business Ransomware Detection and Recovery

    OneDrive for Business Ransomware Detection and Recovery: Hallo, für das OneDrive gibt es einen Ransomware Schutz - Notification und Recovery Prozess. Gibt es diesen auch für OneDrive for Business und...
  • Ransomware-Datenwiederherstellung via OneDrive

    Ransomware-Datenwiederherstellung via OneDrive: Hallo. Ich habe ein Problem mit OneDrive. Also eigentlich läuft alles prima, alles wird synchronisiert. Wenn ich jedoch in der Windows-Sicherheit...
  • Seit einigen Tagen öfters Meldung von Ransomware-Schutz zu: IAStorDataMgrSvc.exe

    Seit einigen Tagen öfters Meldung von Ransomware-Schutz zu: IAStorDataMgrSvc.exe: Hallo an alle netten Leute hier :-) seit gestern - 06.05.20 - kommt nun schon einige mal der Warnhinweis zum Ramsomware-Schutz. Siehe...
  • Seit einigen Tagen öfters Meldung von Ransomware-Schutz zu: IAStorDataMgrSvc.exe

    Seit einigen Tagen öfters Meldung von Ransomware-Schutz zu: IAStorDataMgrSvc.exe: Hallo an alle netten Leute hier :-) seit gestern - 06.05.20 - kommt nun schon einige mal der Warnhinweis zum Ramsomware-Schutz. Siehe...
  • Ähnliche Themen
  • OneDrive for Business Ransomware Detection and Recovery

    OneDrive for Business Ransomware Detection and Recovery: Hallo, für das OneDrive gibt es einen Ransomware Schutz - Notification und Recovery Prozess. Gibt es diesen auch für OneDrive for Business und...
  • Ransomware-Datenwiederherstellung via OneDrive

    Ransomware-Datenwiederherstellung via OneDrive: Hallo. Ich habe ein Problem mit OneDrive. Also eigentlich läuft alles prima, alles wird synchronisiert. Wenn ich jedoch in der Windows-Sicherheit...
  • Seit einigen Tagen öfters Meldung von Ransomware-Schutz zu: IAStorDataMgrSvc.exe

    Seit einigen Tagen öfters Meldung von Ransomware-Schutz zu: IAStorDataMgrSvc.exe: Hallo an alle netten Leute hier :-) seit gestern - 06.05.20 - kommt nun schon einige mal der Warnhinweis zum Ramsomware-Schutz. Siehe...
  • Seit einigen Tagen öfters Meldung von Ransomware-Schutz zu: IAStorDataMgrSvc.exe

    Seit einigen Tagen öfters Meldung von Ransomware-Schutz zu: IAStorDataMgrSvc.exe: Hallo an alle netten Leute hier :-) seit gestern - 06.05.20 - kommt nun schon einige mal der Warnhinweis zum Ramsomware-Schutz. Siehe...
  • Oben