27.06.2017 18:52
Petya Ransomware Outbreak #2
Wir haben noch keine wirklich gesicherten Fakten, daher hier nur eine Zusammenfassung der aktuellen Meldungen:
- die meisten Infektionen scheinen momentan in der Ukraine und Russland stattzufinden
- es sind aber auch in anderen Ländern Unternehmen (tw. auch grosse) betroffen; auch in Österreich
- die Malware betrifft nicht nur einzelne Rechner, sondern versucht sich über das Netzwerk in ganzen IT-Landschaften zu verbreiten
- der Initial-Vektor dürfte Email sein, mit Subjects die auf Bewerbungssschreiben hinweisen
- wir hören von durchaus gut gemachten, personalisierten Emails in der jeweiligen Landessprache (inkl. Deutsch)
- Netzwerk-Verbreitung: wir haben Berichte, wonach sich diese Malware dann über mehrere Vektoren versucht, im Netzwerk zu verbreiten, unter anderem
- psexec
- WebDAV auf admin$-Shares
- EternalBlue (das war die auch von "WannaCry" ausgenutzte Lücke)
- WMIC
- Encryption
- es gibt Berichte, wonach die eigentlichen Dateien nur verschlüsselt werden, wenn keine Admin-Rechte erlangt werden können
- mit Admin-Rechten wird wohl "nur" der MFT verschlüsselt
- andere wiederum berichten, dass erst der MFT und erst nach Reboot dann die Nutzer-Dateien verschlüsselt werden
- das bedeutet, dass Reboots die Situation gegebenfalls noch verschlimmern können
- manche Berichte sprechen von automatischen Reboots nach 1-1,5 Stunden
- die Verschlüsselung an sich dürfte korrekt implementiert sein, dh. die Chance auf "Dekryptoren" ist gering
- die Bitcoin-Adresse für Zahlungen ist immer dieselbe: 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX