So lässt sich die Ausführung der neuen Ransomware verhindern

Der Sicherheitsforscher Amit Serper vom Anbieter Cybereason hat offenbar eine Möglichkeit gefunden, die Ausbreitung der aktuell kursierenden Ransomware zu verhindern. Seiner Ansicht nach handelt es sich – so wie auch von Kaspersky dargestellt – um eine neue Malware, die lediglich Bestandteile einer älteren, Petya genannten enthält. Erste Analysen des Angriffs waren womöglich auch deshalb davon ausgegangen, dass es sich um eine – je nach Untersuchung – mehr oder weniger stark modifizierte Variante der seit vergangenem Jahr bekannten Schadsoftware “Petya” handelt.

Nun scheint sich die Kaspersky-Sicht durchzusetzen. Der russische Sicherheitsanbieter sprach zuerst von “NotPetya” oder “Petna”. Er bezeichnet die Malware nun aber als “ExPetr”. Die Ransomware hat bereits zahlreiche Firmen und Organisationen in Russland und der Ukraine, aber auch in Mittel- und Westeuropa sowie USA getroffen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auch vor Angriffen auf deutsche Einrichtungen gewarnt.

Sicherheitsforscher Amit Serper von Cybereason hat eine “Impfung” gegen die aktuelle Malware (Petya/NotPetya/Petna/ExPetr) gefunden (Screenshot: silicon.de bei Twitter)

Europol und Interpol ermitteln bereits. Der Mail-Provider Posteo hat inzwischen das von den Hintermännern bei ihm für Bitcoin-Zahlungen eingerichtet Konto gesperrt. Zahlungen sind damit nicht mehr möglich. Sicherheitsexperten raten von ihnen ohnehin ab.

Laut Amit Serper sucht die Malware nach einer bestimmten Datei auf der lokalen Festplatte und bricht die Verschlüsselungsroutine ab, wenn diese Datei bereist existiert. Wie Bleeping Computer berichtet, wurden Serpers Erkenntnisse inzwischen von Kollegen von PT Security, TrustedSec und Emsisoft bestätigt. Laut Serper ist es daher möglich, die Ausbreitung der Schadsoftware zu verhindern, wenn diese Datei auf dem PC erstellt und in den Read-only-Modus versetzt wird. Das verhindert zwar nicht, dass die Malware installiert wird, stoppt aber deren Aktivitäten. Die Maßnahme ähnelt damit einer Impfung.

Die Lösegeldforderung der aktuell kursierenden Ransomware kann bereits nicht mehr erfüllt werden, da das angegebene Mail-Konto bereits gesperrt wurde (Screenshot: Emsisoft)

Nutzer oder Administratoren sollen dazu eine Datei mit dem Namen perfc im Verzeichnis C:\Windows erstellen und dafür den Lesemodus einstellen. Eine von Lawrence Abrams erstellte Batch-Datei kann diese Aufgabe ebenfalls übernehmen. Sie wird von Bleeping Computer zum Download angeboten. Außerdem hält die Seite eine ausführliche Beschreibung bereit, wie sich die Datei manuell erstellen lässt.

Mehr zum Thema

Wie man gefährliche E-Mails identifiziert

Gefälschte E-Mails enthalten häufig Viren oder andere Angreifer. Oft sollen auch private und sensible Daten gestohlen werden. Anhand weniger Kriterien lassen sich gefährliche E-Mails jedoch schnell erkennen.

Experten raten zudem dringend, alle verfügbaren Updates von Windows einzuspielen. Sie machen den schon von WannaCry als Einfallstor genutzten Exploit EternalBlue verantwortlich. Die damit ausgenutzte Sicherheitslücke hatte Microsoft bereits im März mit dem Sicherheits-Bulletin MS17-010 geschlossen. Den hatte der Software-Anbieter als “kritisch” eingestuft. Die nun betroffenen Unternehmen haben das aber offenbar anders gesehen.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Podcast: Angriffsketten lassen sich im Darknet buchen

"In der Vergangenheit sind Unternehmen erst dann auf uns zugekommen, wenn das Kind bereits in…

5 Stunden ago

Erasmus MC: Datengesteuerte Klinik setzt auf KI

Das niederländische Universitätsklinikum will sich zu einem datengetriebenen Krankenhaus weiterentwickeln.

5 Stunden ago

KI-Trends: Kann ChatGPT das Contact Center revolutionieren?

Durchbrüche bei der Verarbeitung natürlicher Sprache machen fördern die Einführung von KI im Contact Center.

6 Stunden ago

Maschinenbau in der Cloud

Resch Maschinenbau macht den Sprung in die Public Cloud und setzt auf SAP S/4HANA in…

6 Stunden ago

Türöffner für Emotet, REvil, Maze und andere Malware

Software-Service hilft Hackern, den Schutz vo Endpoint Detection & Respons zu umgehen.

7 Stunden ago

Roboter mit Empathie

Forschungsprojekt „Fluently“ soll Teamwork von Mensch und Maschine optimieren.

8 Stunden ago