Die Malware „Petya“ infiziert nach dem Schema „Ransomware“ analog Ihrer Vorgänger Rechner, verschlüsselt Daten und versucht Lösegeld zu erpressen. Die Lücke wurde schon mit dem März-Patchlauf von Microsoft geschlossen. Sofern regelmässig alle Patches (insbesondere März-Patchlauf) auf den (Unternehmens-) Computern installiert wurden, besteht kein technischer Handlungsbedarf.
Nach „WannaCrypt“ folgt „Petya“
Nach ersten Erkenntnissen scheint die Malware erst nach dem Neustart des Rechners zu verschlüsseln, da sie den Bootloader überschreibt. Die Infektion scheint über die NSA Eternal Blue Lücke zu erfolgen (Schwachstelle in SMB), über welche wir schon im Mai berichtet haben (siehe untenstehender Newsbeitrag).
Zum Newsbeitrag „Informationen und Massnahmen zur Ransomeware „WannaCrypt“
Nebstdem wird die Malware mittlerweile von einer Vielzahl der Virenscanner erkannt. Wichtig: Mit einer Erkennung kann nicht mit Sicherheit gerechnet werden, da der Malwarecode allenfalls mutieren kann. Dies ist leider eher der Regelfall.
Folgende Massnahmen sollten Sie ergreifen
Die Lücke wurde schon mit dem März-Patchlauf von Microsoft geschlossen. Sofern Ihre Systeme gepatcht sind dürfte sich kaum Angriffsfläche ergeben. Sollte dies noch nicht der Fall sein, helfen folgende Massnahmen:
- Umgehende Installation des Patches 4013389 auf Clients und Server (auch resp. insb. XP und 2003); per SCCM, WSUS oder händisch
- Aktivieren der Windows Firewall auf Clients und/oder Eingrenzen der Verbindung auf Port 445 (keine Verbreitung mehr möglich) falls möglich
- Interne Kommunikation an alle Mitarbeiten insbesondere in den nächsten 4 Wochen misstrauisch gegenüber fragwürdigen/unpersönlichen Mails, Socialmedia-Inhalten etc. zu sein und keine solcher Inhalte zu öffnen/teilen.
- Mails, welche vermeintlich von DHL, Post, Swisscom etc. stammen
- Socialmedia-Inhalte die viral gehen und übermässig geteilt werden
Sollten Sie erkennen, dass Ihr Rechner befallen ist, der Verschlüsselungsprozess aber noch nicht begonnen hat, schalten Sie den Rechner aus und nehmen Sie Kontakt mit uns auf. Auf keinen Fall darf er anschliessend wieder gestartet werden.
Die Malware nutzt einmal befallene Rechner um sich von dort mit Boardmitteln (div. Remote-Execution Tools wie PSEXEC, WMIC) weiter zu vermehren. Je höher die Rechte des angemeldeten Users sind, desto schlimmer dürfte sich das auswirken. Deshalb ist es wichtig, einmal befallene Rechner sofort und irreversibel aus dem Netz zu entfernen und im Zweifelsfall vorsorglich Dienste vom Netz zu nehmen (Fileserver offline nehmen etc.). Auf das Arbeiten mit erhöhten Rechten sollte möglichst verzichtet werden.
Für Rückfragen und Hilfestellungen steht Ihnen unser Servicedesk (servicedesk@leuchterag.ch, +41 41 226 50 47) gerne zur Verfügung.