Uns sind uns nach WannaCry die Tränen noch nicht ganz aus den Augen, schon kommt die nächste Ransomware und verschlüsselt wieder Windows-PCs in großem Stil. Diesmal richtet sich die Attacke auf eine Software, die sich MeDoc nennt und in der Ukraine offenbar zur Abwicklung von Steuerzahlungen verwendet wird.
Also Leute, momentan ist nichts wichtiger als alle Windows-Updates einzuspielen. Ja, das nervt, rettet dir aber vielleicht die Festplatte oder auch alle Systeme in deinem Netzwerk (https://technet.microsoft.com/de-de/library/security/ms17-010.aspx). So ähnlich lautet auch die aktuelle Warnung des BSI. Was man nicht so gerne liest, ist der Satz in der BSI-Mitteilung:
„In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind.“
Mit dem „gängigen Administrationswerkzeug“ dürfte Minikatz (Open Source) gemeint sein. Damit werden die Zugangsdaten des Administrators aus dem Speicher des befallenen Rechners ausgelesen. Mit PsExec können dann Kommandos auf anderen verbundenen Rechnern ausgeführt werden, mit WMIC gelingt dann die Ausbreitung der Infektion. So zumindest stellt es The Register dar. Ein Entschlüsseln ist wenn der Trojaner zugeschlagen hat, nicht mehr so ohne weiteres möglich. Man kann sein Glück mit den Entschlüsselungstools versuchen, die Kaspersky auf einer Website anbietet.
In Osteuropa soll die Malware die ernste Schäden verursacht haben. PCWelt meldet, dass unter anderem das Katastrophen-Atomkraftwerk Tschernobyl betroffen sei. Die ausgenutze Lücke in Windows wird in Fachkreisen mit Eternalblue bezeichnet, eines dieser NSA-Exploits.
Zunächst hieß es, bei der Ransomware handle es sich um Petya, mittlerweile verdichten sich die Meldungen, dass sich die Malware nur als Petya ausgibt. Man nennt sie nun NotPetya.