Schon wieder hinterlässt eine Erpressersoftware eine Spur der Verwüstung. Dieses Mal ist es nicht WannaCry, sondern Petya alias PetrWrap/Petya – dieses Erpresserprogramm ist seit Frühjahr 2016 bekannt.
Lese-Tipp: Das hilft gegen die Ransomware Petya
Die ersten Meldungen über funktionsunfähige Windows-Rechner stammten aus der Ukraine und aus Russland, doch mittlerweile häufen sich auch die Schadensmeldungen aus dem restlichen Europa.
Petya nutzt eine SMB-Netzwerk-Lücke in Windows aus um in fremde Rechner einzudringen, wie das Sicherheitsunternehmen Avira berichtet. Die Ransomware Peyta Ransomware verbreitet sich über einen Exploit namens Eternalblue. Damit nutzt Petya unter anderem die gleiche Sicherheitslücke aus, die auch schon WannaCry für seine Verbreitung nutzte, wie das BSI erklärt. Das bedeutet aber auch, dass aktuelle Windows-Systeme, bei denen alle von Microsoft veröffentlichten Patches aufgespielt sind, eigentlich sicher sein sollten. Doch verbreitet sich Petya auch noch über andere Wege: „In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind“, warnt das BSI.
The #Petya #ransomware is back using the #EternalBlue exploit – and our #Antivirus customers are protected! #infosec pic.twitter.com/fWap1rRLeA
— Avira (@Avira) 27. Juni 2017
Wichtig: Sie sollten unbedingt Ihren Virenscanner aktualisieren. Einige Virenscanner erkennen die neue Gefahr bereits. Und natürlich sollten Sie alle Windows-Patches aufspielen!
Ransomware entschlüsseln: So entfernen Sie (fast) jeden Erpresser-Trojaner
In Russland erwischte es beispielsweise die Öl-Firma Rosneft. In der Ukraine ist sogar das berühmt-berüchtigte Kernkraftwerk von Tschernobyl betroffen. Zwar produziert das havarierte AWK in Tschernobyl seit dem Jahr 2000 keinen Strom mehr, doch muss die Anlage immer noch überwacht und die Radioaktivität gemessen werden. Nachdem Petya die dafür vorhandenen automatischen Messeinrichtungen angegriffen hat, schaltete die Kontrollmannschaft des Kernkraftwerks auf die Überwachung im Handbetrieb um.
Außerdem griff Petya in der Ukraine auch die Zentralbank, Telekommunikationsunternehmen und den Flughafen der Hauptstadt Kiew an.
Та-дам! Секретаріат КМУ по ходу теж “обвалили”. Мережа лежить. pic.twitter.com/B74jMsT0qs
— Rozenko Pavlo (@RozenkoPavlo) 27. Juni 2017
In den USA ist der Pharma-Riese Merck betroffen. Außerdem mindestens ein Krankenhaus und einige Behörden. In Deutschland hat Petya den Konzern Beiersdorf (Nivea) erwischt.
Wenn Petya die Infektion gelingt, dann verschlüsselt die Erpressersoftware den gesamten Windows-PC und fordert den Nutzer dazu auf, 300 US-Dollar in Bitcoins zu bezahlen, damit der Rechner wieder entsperrt würde. Petya nutzt eine Mailadresse von Posteo für seine Zwecke. Der Mail-Dienstleister hat diese Mailadresse allerdings mittlerweile gesperrt. Den Erpressern ist es somit nicht mehr möglich, auf das Postfach zuzugreifen oder E-Mails zu versenden. Ein E-Mailversand an das Postfach ist ebenfalls nicht mehr möglich. Betroffene PC-Nutzer können also keinen Kontakt mit den Erpressern mehr aufnehmen.
Grundsätzlich sollten Sie das geforderte Lösegeld nicht bezahlen!
Auf die Bitcoin-Wallet der Erpresser sollen bis jetzt 20 Transaktionen im Wert von 4900 US-Dollar eingegangen sein, wie The Verge berichtet.
Autor: Hans-Christian Dirscherl, Redakteur
Hans-Christian Dirscherl schreibt seit über 20 Jahren zu fast allen IT-Themen. Sein Fokus liegt auf der Koordination und Produktion von Nachrichten mit hohem Nutzwert sowie auf ausführlichen Tests und Ratgebern für die Bereiche Smart Home, Smart Garden und Automotive.