Petya.2017 zerstört Daten unwiederbringlich

SicherheitSicherheitsmanagement

Eine neue Petya-Variante überschreibe laut Forschern den Master Boot Record, was dann nicht mehr rückgängig gemacht werden kann. Daher vermuten Sicherheitsexperten einen Nationalstaat hinter dem Angriff.

Die neue Varinte der vermeintlichen Erpresser-Software Petya.2017 oder 2017 Petya oder Petya/NotPetya scheint einen anderen Hintergrund als übliche Ransomware zu haben. Das melden die Sicherheitsforscher von Comae Technologies und Kaspersky unabhängig voneinander. Seit vorgestern befällt der Schädling Organisationen. Wie die Analysen der Unternehmen zeigen, könne Petya die am System vorgenommenen Änderungen nicht rückgängig machen. Vielmehr verfolge die Malware das Ziel, Daten irreversibel zu zerstören und so Systeme lahmzulegen.

Links 2017 Petya mit dem Wiper-Code und recht die Variante 2016 Petya, die Sector-Blocks liest und verschlüsselt. Comae Technologies sieht in der neuen Variante lediglich die Absicht, Systeme zu zerstören und vermutet staatliche Hacker hinter der Kampagne. (Bild: Comae Technolgoies)
Links 2017 Petya mit dem Wiper-Code und recht die Variante 2016 Petya, die Sector-Blocks liest und verschlüsselt. Comae Technologies sieht in der neuen Variante lediglich die Absicht, Systeme zu zerstören und vermutet staatliche Hacker hinter der Kampagne. (Bild: Comae Technolgoies)

Die Ransomware Petya ist dafür bekannt, dass sie Dateien nicht nur verschlüsselt, sondern auch den Master Boot Record und den Master File Table manipuliert, um Datenrettungsversuche seiner Opfer zu unterbinden. Während frühere Versionen von Petya jedoch beispielsweise den Master Boot Record korrekt auslesen und verschlüsselt speichern, überschreibt die neue Variante den MBR Block für Block, ohne irgendwelche Daten zu hinterlegen. “2016 Petya verändert die Festplatte so, dass es die Änderungen tatsächlich rückgängig machen kann. 2017 Petya hingegen fügt der Festplatte dauerhaften und unumkehrbaren Schaden zu”, lautet das Fazit der Forscher von Comae Technologies.

Laut Kaspersky ist die Installations-ID lediglich eine willkürliche Zahlenfolge. Diese sollte aber einen Bezug zum System des Opfers haben, da dieser für die Entschlüsselungsschlüssel benötigt wird. Somit sei es nicht möglich, einen Schlüssels zu erstellen.

Ausgewähltes Whitepaper

Nutzen und Vorteile der Integration von ECM- und ERP-Software

Ein ECM-System kann besonders dort eine wichtige Ergänzung zu einer bereits bestehenden ERP-Lösung darstellen, wo geschäftsrelevante Dokumente separat abgelegt und mit ERP-Datensätzen verknüpft werden sollen, um Geschäftsprozesse vollständig digital abbilden zu können. Dieses Whitepaper beschreibt die Vorteile an einem konkreten Beispiel.

“Was bedeutet das? Zuerst einmal ist das eine schlechte Nachricht für die Opfer – selbst wenn sie das Lösegeld zahlen, erhalten sie ihre Daten nicht zurück”, schreibt Kaspersky in einem Blogeintrag. “Zweitens bestätigt das unsere Theorie, dass der Angriff nicht finanziell motiviert war, sondern zerstören sollte.”

Comae Technologies vermutet, dass die Hintermänner der neuen Petya-Variante lediglich versucht haben, ihren Angriff als Ransomware-Kampagne zu tarnen. Es schließt deswegen nicht aus, dass die Angriffe von staatlicher Seite unterstützt wurden. deswegen nicht aus, dass die Angriffe von staatlicher Seite unterstützt wurden.

Ausgewählte Whitepaper

Was CEBP ist und wie es Ihrem Unternehmen helfen kann

Mittelständische Unternehmen haben in der Regel schon erhebliche Summen in CRM- und ERP-Systeme investiert. Zwar wurden damit viele strategische Ziele erreicht, ein wichtiger Aspekt lässt häufig aber immer noch zu wünschen übrig: der Kundenservice. Genau hier verspricht CEBP deutliche Verbesserungen und Effizienzsteigerungen.

Dieser Vermutung widerspricht der finnische Sicherheitsanbieter F-Secure in einer FAQ. Er stuft nach einer Analyse des MBR-Codes die Malware als Variante von Petya und auch als Ransomware ein. “Wir haben den Code geprüft und haben bisher keine Hinweise darauf gefunden, dass diese Malware irgendetwas anderes sein will als eine Ransomware”, so Karmina Aquino, Service Lead bei F-Secure Labs. Security Advisor Sean Sullivan ergänzte in Bezug auf eine staatliche Unterstützung: “Darauf würde ich im Moment nicht setzen.”

Inzwischen können Opfer von Petya den Forderungen nicht mehr nachkommen. (Bild: Mikko Hypponen)
Inzwischen können Opfer von Petya den Forderungen nicht mehr nachkommen. (Bild: Mikko Hypponen)

Es sei auch zu früh, um über die von Microsoft vermutete Herkunft der neuen Petya-Variante zu spekulieren. Dem Softwarekonzern zufolge wurde die Malware über ein gefälschtes Update einer Buchhaltungssoftware in Umlauf gebracht.

 

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen