Gegenmaßnahmen gegen “Petya”

Momentan scheint sich eine neue Angriffswelle mit einem Verschlüsselungstrojaner abzuspielen. Dieser Beitrag zeigt, was im Moment bekannt ist, um sich dagegen zu schützen.

Die neue Version des Kryptotrojaners “Petja” scheint sich zum einen über die “Eternal Blue”-Sicherheitslücke zu verbreiten, die bereits “WannaCry” benutzt hat. Es ist nicht nachzuvollziehen, wieso es im Netz immer noch Systeme gibt, die diese Lücke aufweisen, aber die erste Gegenmaßnahme sollte sein, die Rechner auf den aktuellen Patchstand (MS17-010) zu bringen. Im Idealfall sollte darüber hinaus SMBv1 im ganzen Netz komplett deaktiviert werden (https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows).

Leider reicht das nicht aus, da sich die Ransomware, wenn sie einmal Fuß gefasst hat, mit Hilfe der Tools “WMIC” und “PSEXEC” im Netz weiter zu verbreiten scheint. Deswegen ist es sinnvoll, den Dienst “Windows-Verwaltungsinstrumentation” zu beenden und zu deaktivieren. Diese Maßnahme kann nur temporär sein, da von diesem Dienst wichtige andere Services abhängen können.

Außerdem soll es helfen, im Windows-Verzeichnis Dateien mit dem Namen “perfc” und/oder “perfc.dat” (https://twitter.com/0xAmit/status/879778335286452224) anzulegen, da die Ransomware in diesen Dateien versucht, Daten abzulegen. In diesem Zusammenhang ist es wichtig, den neu angelegten Files das Attribut “Read-only” mitzugeben, damit die Ransomware sie nicht überschreiben kann (siehe Screenshot). Wenn diese Dateien existieren, sollte “Petya” nicht in der Lage sein, zu laufen. Falls sich neue Erkenntnisse ergeben, werde ich sie hier anhängen.