Kleiner Schutz. Was ist über die Petya-Virus-Epidemie bekannt und wie Sie verhindern, dass alle Ihre Dateien verloren gehen?
Am 27. Juni 2017 wurde die Welt mit einer neuen Ransomware-Epidemie konfrontiert, deren Ursache eine neue Version des Petya-Verschlüsselungsprogramms war, das Experten seit 2016 bekannt ist. Offensichtlich übernahmen die Malware-Betreiber mehrere Techniken von den Entwicklern der sensationellen Malware und schafften es, eine neue Runde der Panik auszulösen.
In diesem Material haben wir versucht, alle derzeit bekannten Informationen über diese bösartige Kampagne zusammenzutragen.
Merkmale von Petya
Wie oben erwähnt, wurde die Petya-Ransomware bereits im März 2016 veröffentlicht. Die Version, die der Welt am 27. Juni 2017 begegnete, unterscheidet sich jedoch stark von diesem „Petit“.
Petya-Modell 2016
Wie Sie in den Abbildungen oben sehen können, lag gestern unter den betroffenen Ländern die Ukraine mit großem Abstand an der Spitze.
Zurück am 27. Juni 2017, ukrainische Cyberpolizei gemeldet, dass sich die Ransomware nach vorläufigen Angaben „dank“ der Software der Firma M.E.Doc so schnell in der gesamten Ukraine verbreitet habe. Ähnliche Annahmen wurden von Infgemacht, darunter Experten von Cisco Talos und Microsoft.
So berichtete die Cyberpolizei, dass das neueste Update, das am 22. Juni von den Servern des Unternehmens (upd.me-doc.com.ua) verteilt wurde, mit der Ransomware Petya infiziert war.
Microsoft-Spezialisten wiederum schreiben, dass sie am 27. Juni bemerkten, dass der M.E.Doc-Update-Prozess (EzVit.exe) begann, schädliche Befehle auszuführen, die zur Installation von Petya führten (siehe Abbildung unten).
Gleichzeitig erschien auf der offiziellen M.E.Doc-Website eine Meldung, dass „auf den Servern ein Virenangriff durchgeführt wird“, die bald verschwand und nur noch im Google-Cache verfügbar ist.
Außerdem gibt Microsoft an, Beweise dafür zu haben, dass „einige aktive Infektionen“ von Petya ursprünglich vom legitimen MEDoc-Updater-Prozess ausgingen.
Am 27. Juni wurden europäische Länder von einem Ransomware-Virus mit dem harmlosen Namen Petya angegriffen (in verschiedenen Quellen finden sich auch die Namen Petya.A, NotPetya und GoldenEye). Die Ransomware fordert ein Lösegeld in Bitcoins im Gegenwert von 300 US-Dollar. Dutzende große ukrainische und russische Unternehmen sind infiziert, auch in Spanien, Frankreich und Dänemark ist eine Ausbreitung des Virus zu verzeichnen.
Wer wurde getroffen?
Ukraine
Die Ukraine war eines der ersten Länder, das angegriffen wurde. Nach vorläufigen Schätzungen wurden etwa 80 Unternehmen und Regierungsbehörden angegriffen:
Heutzutage verschlüsselt der Virus nicht nur einzelne Dateien, sondern entzieht dem Benutzer den Zugriff auf die Festplatte vollständig. Die Ransomware verwendet außerdem eine gefälschte elektronische Signatur von Microsoft, die Benutzern zeigt, dass das Programm von einem vertrauenswürdigen Autor entwickelt wurde und Sicherheit garantiert. Nach der Infektion eines Computers verändert der Virus den speziellen Code, der zum Laden des Betriebssystems erforderlich ist. Dadurch wird beim Starten des Rechners nicht das Betriebssystem geladen, sondern Schadcode.
Wie schützt man sich?
- Schließen Sie die TCP-Ports 1024–1035, 135 und 445.
- Aktualisieren Sie die Datenbanken Ihrer Antivirenprodukte.
- Da Petya durch Phishing verbreitet wird, öffnen Sie keine E-Mails von unbekannten Quellen (wenn der Absender bekannt ist, prüfen Sie, ob die E-Mail sicher ist), achten Sie auf Nachrichten aus sozialen Netzwerken Ihrer Freunde, da deren Konten gehackt werden könnten.
- Virus Auf der Suche nach Datei C:\Windows\perfc, und wenn es es nicht findet, erzeugt es eine Infektion und startet sie. Wenn eine solche Datei bereits auf dem Computer vorhanden ist, funktioniert der Virus ohne Infektion. Sie müssen eine leere Datei mit demselben Namen erstellen. Schauen wir uns diesen Prozess genauer an.
Die BleepingComputer-Ressource hat die Schutzmethode gemeinsam genutzt. Der Einfachheit halber haben sie ein Skript vorbereitet, das die ganze Arbeit für Sie erledigt. Nachfolgend finden Sie detaillierte Anweisungen für den Fall, dass Sie alles selbst erledigen möchten.
Anleitung zum Schutz vor Petya
Deaktivieren Sie in den Ordneroptionen-Einstellungen die Option Erweiterungen für bekannte Dateitypen ausblenden. Dadurch wird eine Datei ohne Erweiterung erstellt.
Gehe zum Ordner C:\Windows und finde die Datei notepad.exe:
Erstellen Sie eine Kopie dieser Datei (das System fragt nach Bestätigung):
Benennen Sie die resultierende Kopie der Datei um in perfc:
Das System warnt Sie, dass auf die Datei möglicherweise nicht zugegriffen werden kann:
Informationen, die jeder Benutzer über den Petya-Virus wissen sollte.
Was ist das für ein Virus?
- Am Dienstag, 27. Juni 2017, tauchte im Internet ein Virus namens Petya auf. Rosneft und die Home Credit Bank wurden angegriffen. Nach der Ausführung überschreibt diese Bedrohung den Master Boot Record (MBR) mit Ransom:DOS/Petya.A und verschlüsselt die Systemlaufwerkssektoren. Dies geschieht nacheinander wie folgt: Erzwingt einen Neustart des PCs und zeigt eine gefälschte Systemmeldung an, die auf einen vermeintlichen Fehler auf der Festplatte hinweist und eine gefälschte Integritätsprüfung anzeigt: Als nächstes erhalten Sie die folgende Nachricht mit Anweisungen zum Kauf eines Schlüssels zum Entsperren das System.
- Der Virus verschlüsselt Dateien auf allen Laufwerken außer dem Windows-Ordner auf Laufwerk C: die folgende Erweiterung der verschlüsselten Dateien:
- Vor nicht allzu langer Zeit gab es einen Angriff durch den WannaCry-Virus, der in vielerlei Hinsicht dem Petya-Virus ähnelt, über den wir in diesem Artikel sprechen. Zunächst einmal besteht die Ähnlichkeit zwischen ihnen darin, dass es sich um Kryptoviren handelt, das sind Viren, die die Dateien des Benutzers verschlüsseln und für die Entschlüsselung ein Lösegeld verlangen. Laut Kaspersky Lab ist dies nicht derselbe Virus wie Petya zuvor, aber sein Name ist ExPetr, das heißt, dieser Virus ist stark verändert, sagen wir, er war schon einmal da. Weitere Informationen finden Sie auf der Website, obwohl einige Codezeilen, wie es heißt, ähnlich sind.
Schutz und wo kann man sich anstecken?
- Sie können solche Malware abfangen, indem Sie die Datei Petya.apx per E-Mail versenden oder ein Update des Buchhaltungsprogramms M.E.doc installieren. Nachfolgend finden Sie eine Beschreibung aus dem Microsoft-Blog zu diesem M.E.doc-Steuerprogramm. Wenn ein infizierter Computer in Ihrem Netzwerk zu Hause oder am Arbeitsplatz auftaucht, verbreitet sich die Malware über dieselbe Schwachstelle wie der WannaCry-Virus über das Smb-Protokoll. Ein Exploit, der eine Schwachstelle in der Windows-Implementierung des SMB-Protokolls ausnutzt. Microsoft empfiehlt, wie in dem Artikel geschrieben, dringend, Updates für alle Windows-Systeme zu installieren, um sich vor WannaCry zu schützen, und hat sogar Updates für lange Zeit nicht unterstützte Produkte wie Windows XP veröffentlicht. Es stellt sich heraus, dass Ihr Schutz sowohl für den WannaCry-Virus als auch für den Petya-Virus gleich sein sollte. Weitere Informationen zum Schutz und zur Installation von Updates finden Sie im Artikel. Kostenloser Schutz vor Verschlüsselungsprogrammen sowie Antiviren- und Antispyware-Programme können von Kaspersky installiert werden. Wenn Sie Anti-Spyware verwenden, verfügt diese außerdem bereits über einen integrierten Schutz nicht nur vor PUPs, sondern auch vor Ransomware. Auf der Website heißt es zu Ransomware: Verhindert, dass Angreifer Ihre Dateien verschlüsseln, um Lösegeld zu erpressen. Ich denke, das ist der beste Weg, MBAM auf Ihrem Antivirenprogramm zu installieren. Eine bereits im System integrierte Option von Microsoft, Windows Defender 8.1 und Windows 10, Microsoft Security Essentials für Windows 7 und Windows Vista. Sie können auch einen einmaligen Scan durchführen, um zu überprüfen, ob Ihr Computer mit allen Arten von Bedrohungen infiziert ist. Auf der Microsoft-Website gibt es eine vollständige Beschreibung des Virus, woher er kommt und wie er in das System gelangt, eine genauere Beschreibung ist auf Englisch. In dem Blog heißt es, dass die erste Infektion bzw. der Erpressungsprozess mit dem ukrainischen Unternehmen M.E.Doc begann, das die Steuerbuchhaltungssoftware MEDoc entwickelt.
- Genaue Übersetzung mit Google Translate: Obwohl dieser Vektor von Nachrichten- und Sicherheitsforschern, einschließlich der ukrainischen Cyberpolizei, ausführlich behandelt wurde, gab es nur Indizienbeweise für diesen Vektor. Microsoft verfügt nun über Beweise dafür, dass mehrere aktive Ransomware-Infektionen ursprünglich von einem legitimen Medoc-Update-Prozess ausgingen.
Dateientschlüsselung?
- Benutzer werden gebeten, einen Nachweis über die Überweisung an das angegebene Postfach zu schreiben, um den Entschlüsselungsschlüssel zu erhalten. Wenn Sie Geld zum Entschlüsseln von Dateien überweisen, können Sie keine E-Mail schreiben, um zu beanstanden, dass Sie ein Lösegeld gesendet haben. Die E-Mail-Adresse, an die sich die Opfer bei der Geldüberweisung melden sollten, wurde vom deutschen Anbieter gesperrt; auf ihrem Server befand sich ein Postfach. Sie können also übersetzen, der Schlüssel wird Ihnen jedoch nicht zugesandt. Nehmen wir an, es ist offiziell nicht möglich, durch Ransomware an einen Schlüssel zu gelangen. Das Ransomware-Wallet ist aktuell am 1. Juli 2017 bekannt, Daten zu Belegen werden innerhalb von 15 Sekunden aktualisiert. Um den Virus auf dem Computer des Opfers zu stoppen, müssen Sie eine leere Datei auf dem Laufwerk C:\Windows\perfc erstellen und die Eigenschaften auf schreibgeschützt setzen. Es gibt noch keine Entschlüsselungsprogramme, außer für ältere Versionen des Virus auf GitHub.
Das Petya-Virus ist ein schnell wachsendes Virus, das am 27. Juni 2017 fast alle großen Unternehmen in der Ukraine befallen hat. Der Petya-Virus verschlüsselt Ihre Dateien und bietet dann ein Lösegeld dafür an.
Der neue Virus infiziert die Festplatte des Computers und fungiert als Dateiverschlüsselungsvirus. Nach einer gewissen Zeit „frisst“ der Petya-Virus die Dateien auf Ihrem Computer und sie werden verschlüsselt (als wären die Dateien archiviert und ein schweres Passwort festgelegt).
Dateien, die vom Petya-Ransomware-Virus betroffen sind, können später nicht wiederhergestellt werden (es gibt einen Prozentsatz, bei dem Sie sie wiederherstellen können, dieser ist jedoch sehr gering).
Es gibt KEINEN Algorithmus, der vom Petya-Virus betroffene Dateien wiederherstellt
Mit Hilfe dieses kurzen und MAXIMAL nützlichen Artikels können Sie sich vor #virusPetya schützenWie man den Petya- oder WannaCry-Virus identifiziert und sich NICHT mit dem Virus infiziert
Wenn Sie eine Datei über das Internet herunterladen, überprüfen Sie sie mit einem Online-Antivirenprogramm. Online-Antivirenprogramme können einen Virus in einer Datei im Voraus erkennen und eine Infektion durch den Petya-Virus verhindern. Sie müssen lediglich die heruntergeladene Datei mit VirusTotal überprüfen und sie dann ausführen. Selbst wenn Sie den PETYA-VIRUS HERUNTERGELADEN, aber die Virendatei NICHT ausgeführt haben, ist der Virus NICHT aktiv und verursacht keinen Schaden. Denken Sie daran, dass nur dann ein Virus entsteht, wenn Sie eine schädliche Datei ausführen
DIE ANWENDUNG DIESER METHODE GIBT IHNEN NUR ALLE CHANCEN, NICHT MIT DEM PETYA-VIRUS INFIZIERT ZU WERDEN
Das Petya-Virus sieht so aus:So schützen Sie sich vor dem Petya-Virus
Unternehmen Symantec hat eine Lösung vorgeschlagen, mit der Sie sich vor dem Petya-Virus schützen können, indem Sie so tun, als hätten Sie ihn bereits installiert.
Wenn der Petya-Virus in einen Computer eindringt, wird er im Ordner erstellt C:\Windows\perfc Datei perfc oder perfc.dll
Um den Virus glauben zu lassen, dass er bereits installiert ist und seine Aktivität nicht fortsetzt, erstellen Sie im Ordner C:\Windows\perfc Datei mit leerem Inhalt und speichern Sie sie, indem Sie den Bearbeitungsmodus auf „Schreibgeschützt“ setzen.
Oder laden Sie virus-petya-perfc.zip herunter und entpacken Sie den Ordner perfc in einen Ordner C:\Windows\ und stellen Sie den Änderungsmodus auf „Nur lesen“
Laden Sie virus-petya-perfc.zip herunter
AKTUALISIERT 29.06.2017
Ich empfehle außerdem, beide Dateien einfach in den Windows-Ordner herunterzuladen. Viele Quellen schreiben, dass die Datei perfc oder perfc.dll muss im Ordner sein C:\Windows\Was tun, wenn Ihr Computer bereits mit dem Petya-Virus infiziert ist?
Schalten Sie keinen Computer ein, auf dem Sie bereits mit dem Petya-Virus infiziert sind. Der Petya-Virus funktioniert so, dass er Dateien verschlüsselt, während der infizierte Computer eingeschaltet ist. Das heißt, solange Ihr Computer weiterhin mit dem Petya-Virus infiziert ist, können immer mehr Dateien infiziert und verschlüsselt werden.
Es lohnt sich, die Festplatte dieses Computers zu überprüfen. Sie können es mit LIVECD oder LIVEUSB mit Antivirenprogramm überprüfen
Bootfähiger USB-Stick mit Kaspersky Rescue Disk 10
Bootfähiges Dr.Web LiveDisk-Flash-LaufwerkWer hat das Petya-Virus in der gesamten Ukraine verbreitet?
Microsoft hat seinen Standpunkt zur globalen Netzwerkinfektion großer ukrainischer Unternehmen geäußert. Der Grund war ein Update des M.E.Doc-Programms. M.E.Doc ist ein beliebtes Buchhaltungsprogramm, weshalb das Unternehmen einen so großen Fehler machte, als ein Virus in das Update eindrang und den Petya-Virus auf Tausenden von PCs installierte, auf denen das M.E.Doc-Programm installiert war. Und da der Virus Computer im selben Netzwerk befällt, verbreitet er sich blitzschnell.
Lesen Sie auch weitere Artikel zum Thema „Windows 8.1, 7, XP“
#: Petya-Virus betrifft Android, Petya-Virus, wie man den Petya-Virus erkennt und entfernt, wie man den Petya-Virus behandelt, M.E.Doc, Microsoft, einen Ordner erstellen Petya-Virus
In letzter Zeit wurden viele Internetressourcen und Benutzercomputer angegriffen, und das steckt dahinter Petya-Ransomware-Virus. Die Websites der größten Regierungsinstitutionen wurden blockiert, von der Oschadbank und der Regierungswebsite bis hin zu Nova Poshta usw. In letzter Zeit ist Petya/NoPetya der größte Virus, der viele Computer infiziert hat. Glücklicherweise können Sie sich wie vor jedem Virus davor schützen und ihn entfernen, müssen aber nichts selbst tun.
Petya-Virus: Wie funktioniert es?
Der Petya-Computervirus gehört zur Ransomware-Nische; er dringt in das System ein, provoziert einen Systemneustart und verschlüsselt während des Betriebssystemstarts Dateien sowie die Registrierung. Am Ende des Vorgangs wird eine Meldung angezeigt, in der ein Lösegeld von 300–400 US-Dollar auf das Bitcoin-Konto verlangt wird. Anschließend wird ein Passwort gesendet, um die Dateien rückwärts zu entschlüsseln.
Die Besonderheit des Virus besteht darin, dass er das System irreversibel befällt und keinerlei Zugriff auf seine Funktionen besteht. Am weitesten verbreitet ist es in der Ukraine und in Russland. Experten ermitteln immer noch, wie der Virus übertragen wurde, aber heute geht man davon aus, dass er über ein gefälschtes Update des berühmten M.E.Doc-Programms eingedrungen ist. Der Wirkungsmechanismus des Virus basiert auf der Nutzung der bereits bekannten ETERNALBLUE-Schwachstelle, die im berüchtigten Wanna Cry ausgenutzt wurde, sowie des ETERNALROMANCE-Exploits. Durch das Erraten von Passwörtern und bestimmte Lücken im Windows-Schutz verbreitete sich der Virus und befiel alle Computer innerhalb desselben lokalen Netzwerks.
Der Virus ist nicht so weit verbreitet wie Wanna Cry, da er sich nicht über das Netzwerk verbreitet, aber der Einsatz beider Exploits trägt dazu bei, alle Computer im lokalen System zu infizieren.
Petya-Virus: Wie entfernen?
Der Petya-Virenschutz hilft nicht immer, zumal viele Antivirenprogramme die Datei bei der Verteilung nicht als Virus erkannten. Eine solch groß angelegte Niederlage des PCs wurde von den Entwicklern von Antiviren-Signaturen nicht ignoriert und das Risiko, in Zukunft auf einen Virus zu stoßen, ist gering, es ist jedoch möglich, auf andere Modifikationen zu stoßen.
Unmittelbar nach dem Eindringen in den PC startet der Virus ihn neu und der Vorgang wird zwangsweise ausgeführt. Während des Startvorgangs erscheint ein Fenster, in dem Sie aufgefordert werden, eine Systemwiederherstellung durchzuführen. Der ahnungslose Benutzer drückt die Eingabetaste und der Verschlüsselungsprozess beginnt. Tatsächlich ist das als System-CHKDSK vorgetäuschte Fenster nicht original, sodass der Benutzer die Aktionen des Virus bestätigt.
Lassen Sie sich nicht täuschen, starten Sie Ihren PC einfach noch einmal neu. Wählen Sie mit F9 das Laufwerk aus und wechseln Sie zu einem anderen Laufwerk, falls vorhanden. Als nächstes müssen Sie das System heute vom Windows-Desktop aus auf Viren scannen. Fast alle fortschrittlichen Antivirenprogramme erkennen die Ransomware korrekt und ermöglichen Ihnen, sie zu entfernen.
Andernfalls starten Sie einfach mit einer Wiederherstellungsdiskette (Installationsdiskette oder Flash-Laufwerk).
Petya-Virus: Wie schützt man sich?
Wie können Sie verhindern, dass sich der Petya-Virus auf Ihrem Computer ansteckt, und Ihre Daten entsprechend schützen? Unmittelbar nach dem Auftreten des Virus gelangte eine Probe davon zu vielen fortgeschrittenen Administratoren, die versuchten, Methoden zur Bekämpfung von Petya zu finden. Der Virus selbst nutzt Systemschwachstellen aus, um in ihn einzudringen und ihn zu besiegen, und Programmierer haben Schwachstellen im Code des Schädlings gefunden.
Vom Benutzer sind eine Mindestanzahl an Aktionen erforderlich. Sie müssen eine Perfc-Datei erstellen, die sich im Verzeichnis C:\Windows befinden und über die Einstellung „Schreibgeschützt“ verfügen sollte. Die Methode kann nicht als Allheilmittel bezeichnet werden, da weitere Modifikationen des Virus diese Einschränkungen umgehen und das Problem erneut auftritt. Bis dahin wird jedoch ein vollständiger Schutz vor Antivirenprogrammen angezeigt.
Dateierstellungsprozess:
- Zunächst lohnt es sich, Dateierweiterungen zur Bearbeitung bereitzustellen. Sie müssen einen beliebigen Ordner öffnen, auf „Anordnen“ klicken und „Ordner- und Suchoptionen“ auswählen. Wenn Sie über ein Dutzend verfügen, finden Sie das Element im Abschnitt „Datei“.
- Gehen Sie zur Registerkarte „Ansicht“, scrollen Sie bis zum Ende der Liste und deaktivieren Sie den Abschnitt „Erweiterungen für registrierte Dateitypen ausblenden“.
- Erstellen oder kopieren Sie nun eine beliebige Datei auf der Festplatte.
- RMB darauf und „Umbenennen“, vorhandene Dateien nicht ändern, sonst kann es zu einem Fehler kommen;
- Geben Sie den Namen perfc ein, es sollten keine Erweiterungen vorhanden sein und bestätigen Sie das Warnfenster;
- RMB auf die erstellte Schutzdatei und aktivieren Sie das Kontrollkästchen neben „Schreibgeschützt“.
In größerem Umfang zielt der Virus auf Unternehmensnetzwerke ab, sodass dem Unternehmen durch Ausfallzeiten enorme Geldbeträge verloren gehen, was dazu führen kann, dass es die Ransomware bezahlt. Es gibt allgemeine Methoden zum Schutz vor allen Arten von Viren.
Petya-Ransomware-Virus – Schutzmethoden
Ein Team von Kaspersky Lab hat festgestellt, dass viele Unternehmen über banale Links in die Cloud, meist werden Dateien wie Lebensläufe verschickt, einen Virus auf ihren Computer bekommen haben.
Wenn der Petya-Virus angegriffen hat, ist es bereits zu spät, Maßnahmen zu ergreifen, um sich selbst zu schützen, es sei denn, Sie müssen das lokale Netzwerk sofort deaktivieren. Sie müssen sich also zuerst selbst schützen:
- Backups sind die Grundlage jedes Unternehmens. Ohne sie besteht ein hohes Risiko, dass wichtige Daten verloren gehen. Es ist wichtig, zwei Kopien zu erstellen: Die erste wird in der Cloud gespeichert, die zweite auf einem normalen Wechseldatenträger und blockiert den Zugriff auf die Bearbeitung und Änderung von Dateien auf dem Laufwerk.
- Phishing – gefälschte Websites, E-Mails usw. von anderen Organisationen, zum Beispiel Banken, Geschäften, Internet-Informationsquellen. Zusätzlich zum gefälschten Text enthält die Nachricht immer einen Link zu einer Seite, die eine Datei und ein Skript herunterlädt und das System mit einem Virus infiziert.
- Hacking – Freunde und Bekannte können auf Skype, VK, Gmail, Facebook usw. gehackt werden. Sie sollten niemandem vertrauen, sonst können Sie sich mit dem Petya-Virus infizieren.
- Achten Sie beim Herunterladen von Dateien aus dem Netzwerk auf die Erweiterungen exe, vbs und scr.
- Aktualisieren Sie Ihr Antivirenprogramm und Ihr Betriebssystem.
Abschluss
Der neue Petya-Virus nutzt im Wesentlichen bereits bekannte Schwachstellen aus, um Administratorrechte zu erlangen, und führt den Benutzer dann mit einem gefälschten Wiederherstellungsfenster in die Irre. Wenn Sie also den Petya/NoPetya-Algorithmus bereits kennen, können Sie vermeiden, in die Falle von Angreifern zu tappen.
Wenn Sie noch Fragen zum Thema „Wie kann man den Petya-Ransomware-Virus entfernen oder sich davor schützen?“ haben, können Sie diese in den Kommentaren stellen
if(function_exists("the_ratings")) ( the_ratings(); ) ?>