Ransomware jeglicher Art

@mayday

Den größten Fehler hat bereits @venerdi angegeben. Was für eine Ransomware war das eigentlich? Petya kann es nicht sein, das zieht nur die Systemfestplatte in Mitleidenschaft.

Nach Erteilung dieser Berechtigungen ermittelt Petya zunächst die Systemfestplatte. Nach dem derzeitigen Kenntnisstand werden andere Laufwerke nicht in Mitleidenschaft gezogen.

https://blog.gdata.de/2016/03/28223-ransomware-petya-ein-technischer-uberblick

Hier hätte die USB-Festplatte also überleben müssen. Und je nach Lösegeld wird das Gehalt wohl leiden, da hast du recht. Wenn das Ding für Unternehmen gedacht war (Was ich nicht glaube, wurde ja sein Laptop und nicht sein arbeits PC infiziert) könnte es teurer werden.

@Izaya
@venerdi
Ja seltsam, das las ich auch, nur die Systemplatte. er schrieb aber tatsächlich auch die USB Platte mit der Datensicherung sei verschlüsselt..wobei es auch möglich wäre dass die unselbaren backups eine andere Ursache haben? Naja das es public ist, darf ich es wohl verlinken -> http://movie2digital.net/index.php?thread/63813-petya-trojaner-eingefangen/

@Izaya
@mayday


Guten Morgen,

ein Teil der Führungskräfte hat keinen festen PC im Büro sondern arbeitet mit einem Laptop.
Teilweise wird der Laptop, wenn sie im Büro sind, an einen Monitor und Tastatur über eine Dockingstation angeschlossen.

Diese Leute wollen die Daten auch auf Reisen immer dabei haben ist die Begründung.

Bleibt wohl nur zahlen entweder das Lösegeld oder einen Experten und dann auch noch das Lösegeld.


Venerdi

Ist wohl doch ein Firmen-PC.

@mayday
Das mit der USB-Platte ist merkwürdig. Möglich aber allemal, denn es sind immer Formulierungen wie:

Izaya schrieb:Nach dem derzeitigen Kenntnisstand werden andere Laufwerke nicht in Mitleidenschaft gezogen.

Man weiß also nicht sicher, ob andere Speichermedien verschlüsselt werden. Nicht 100%ig.
Die verschlüsselten Daten kann man momentan[/b] nicht retten. Wenn es wirklich wichtige Daten sind:
Bezahlen und hoffen (das man die Daten nach dem Bezahlen bekommt) und das nächste mal vernünftig Sichern.


Was ich mich gerade Frage, erkennt Anti-Ransomware Petya?
Außerdem, wie kommst du auf Notebook? Er schreibt nur von einem Firmenrechner.

@venerdi
Laptop hat bei der Mobilität schon Vorteile. Aber die wichtigsten Daten kann man auch mal auf eine externe Festplatte schieben. Die sind nicht mehr sooo teuer. Und die Daten vernünftig sichern kann man auch, wenn man einen Laptop hat.

@Izaya
Du hast recht er schreibt nur "Rechner". Notebook ist meine interpretation die nicht stimmen muss. Warum ich so dachte/interperierte liegt wohl daran, dass bei mir in der Firma USB-Festplatten nur Leute kriegen die ein Notebook haben. Feste PCs speichern immer direkt auf den Server, sie gehen nie Offline "out of Office"..oder wenn speziell verlangt, als Ausnahme, richten ein Backup ein, wo ihre lokalen Daten mit dem Server synchronisiert werden. Was Petya angeht, spielt das aber keine Rolle, dem ist es wurst ob Notebook oder PC.

Etwas seltsam finde ich, dass Deutschland primäres Ziel scheint dieser Krypto Erpresser? Hier in der Schweiz kriegen wir davon kaum was mit. Das sieht doch politisch motiviert aus..was denkt ihr?

@mayday

mayday schrieb:Das sieht doch politisch motiviert aus

Daran habe ich ehrlich gesagt gar nicht gedacht.
Dann sollte man alle Eigenschaften mit einbeziehen. So ist Petya auf deutsche Unternehmen spezialisiert. Eine Privatperson könnte ja nicht besonders viel mit einer Bewerbung anfangen.

Wenn Unternehmen das Ziel sind und die Tat politisch motiviert sind, liegt ein wirtschaftlicher Schaden als Ziel nahe. Jetzt kann ich spontan weder sagen, ob das Lösegeld sehr hoch ist oder die Daten gar nicht wieder freigegeben werden, wenn man bezahlt hat. Das wären die zwei Szenarien, die mir einfallen, die am schädligsten wären.

Mal wieder ne Frage in den Raum: Was für E-Mail-Adressen nutzt man, um Petya zu verbreiten. Wenn es Bots sind, die die E-Mails versenden kann das Ziel Deutschland auch einprogrammiert sein bzw. wenn es keine sind könnte das Ausland aus Fahrlässigkeit nicht beachtet werden.

@Izaya
@mayday

Allgemein ist die Verseuchung mit Ransomware nicht auf Deutschland beschränkt.

Hier nun ein Bild der Verteilung von der Seite von PC-Magazin.




Venerdi

@venerdi
Gute Grafik, ok das sieht anders aus wie ich dachte. Petya scheint anders zu sein, wütet im deutschprachigen Raum wohl eher

In perfektem Deutsch wird eine Bewerbung vorgetäuscht, bei der die angeblichen Bewerbungsunterlagen aufgrund der Größe nicht in der Mail, sondern in einem Dropbox-Ordner namens "Bewerbungsmappe" sein sollen. - derstandard.at/2000033657066/Erpressungstrojaner-Petya-befaellt-deutschsprachiges-Gebiet

Wobei da auch eine .exe im Anhang sein kann. Da gibt es scheinbar verschiede Varianten.

@mayday

Vorsicht diese Grafik bezieht sich auf alle diese Programme.
Wie die Verteilung nur bei Petya ist kann aus dieser Grafik nicht abgeleitet werden.

Die Verteilung scheint sich an der Wirtschaftskraft der Länder zu orientieren.
Nur Ungarn und die Schweiz passen dann nicht in das Schema.


Venerdi

@venerdi
oki, steht wohl doch nur das Geld in Vordergrund, je Zahlungskräftiger die Unternehmen, desto besser.

Guten Morgen,

auf Semper ist eine kurze Erklärung wie Petya arbeitet und bis zu welchem Zeitpunkt man seine Daten noch retten kann ohne zu zahlen.

Hier der Link:

Krypto-Trojaner Petya

Externer Inhalt
Durch das Abspielen werden Daten an Youtube übermittelt und ggf. Cookies gesetzt.

Und was sagt Microsoft dazu wenn ein Rechner mit Schadsoftware befallen ist.

Platt machen und neu aufsetzen!

Hier der Link nach Microsoft:

https://technet.microsoft.com/de-de/library/cc700813.aspx


Venerdi

@mayday
@Izaya
@wYDi

Für Firmen gibt es auch die Möglichkeit sich zu versichern.

Nun man hat also die freie Wahl. An den Erpresser zahlen oder an die Versicherung.

Hier ein Link zu einem Artikel der auf die Versicherungsmöglichkeit hinweist:

http://www.trojaner-info.de/business-security/cyber-versicherung/articles/business-security-cyber-versicherung.html (Archiv-Version vom 08.04.2016)


Venerdi


Nachtrag:
Die Versicherung dürfte aber nur zahlen wenn sie VOR dem Schadensfall abgeschlossen wurde.

@venerdi
Man ist so lange versichert bis der Schadensfall eintritt. Ab dann benötigt man eine Rechtsschutzversicherung ;)

@wYDi
@cpt_void
@mayday
@Izaya
@VirtualOutrage

Guten Abend,

in Petya scheint ein gravierender Fehler zu sein.

Er verschlüsselt anscheinend nur die Systemfestplatte und angeschlossene USB-Festplatten.
Eine zweite oder weitere Festplatten IM Rechner verschlüsselt er anscheinend nicht.

Hierzu ein Beitrag den ich im Forum von Heise zu diesem Thema gefunden habe:

04.04.2016 15:42 Permalink
Melden

Vor mir steht gerade eine mit Petya infizierte Kiste



Hallo,
ich habe von einem Kunden eine Kiste, mit dem hier beschriebenen Petya-Trojaner erhalten.

Infektion am 31.03.2016.
E-Mail bzgl. einer Bewerbung (auf die Branche des Unternehmens passend) mit einem Dropbox-Link. Was genau in der Dropbox dann war, weiß ich nicht. Vermutlich eine PDF.EXE o.ä.
Zum Zeitpunkt der Infektion war auf dem System übrigens Kaspersky Anti Virus mit aktuellen Signaturen installiert.

Nun zur Wiederherstellung bzw. Datenrettung:
Verbaut sind in dem PC 2 interne HDDs , zum Zeitpunkt der Infektion war außerdem eine externe HDD per USB angeschlossen.

Folgender "Schaden" wurde konkret angerichtet:
Eine HDD (C:) wurde verschlüsselt, außerdem wurde die externe Festplatte verschlüsselt.

Die zweite, interne HDD wurde nicht(!) verschlüsselt.

Die mittels Acronis angelegten Image-Backups lagen natürlich auf der externen Festplatte, weshalb die Backups nun nutzlos sind.

Glücklicherweise lag auf der zweiten internen Festplatte ein recht aktuelles Windows Systemabbild.

Mittlerweile läuft die Kiste wieder.
Ich habe den Rechner mit einer Win7-DVD gestartet, über die Eingabeaufforderung mit
format c: /fs:ntfs /q
die verschlüsselte Festplatte (C:) formatiert und dann mit dem Assistenen das Systemabbild wiederhergestellt.
Obwohl das geklappt hat, kam immernoch der zitierte Totenkopf, das liegt an dem vpn Petya überschriebenen MBR.

Ich habe dann erneut von der Win7-DVD gestartet und über die Eingabeaufforderung den MBR neu erstellt:
Bootrec.exe /FixMbr

Danach konnte ich den Rechner wieder normal booten.


.


Bewerten

Venerdi

Diese Petya Leute machen sich sogar den Aufwand zur Branche passende Mails loszuschicken. Crazy....
Is aber auch fazinierend das eine interne Platte einfach ausgelassen wird. Verstehe ich eigentlich net. Dad ist ja quasi nichts ganzes und nichts halbes...

Moin Moin @wYDi,

vermutlich liegt das Daran, daß die meisten WinDAUs nur eine Festplatte C: konfiguriert haben, da muß im Normalfall halt auch nur C: verschlüsselt werden. Ist halt schön bequem, nur ein logisches Laufwerk zu nutzen, weil standardmäßig von der Windows-Installation so angeboten.
Nicht jeder kennt den Begriff "Partitionierung", um dann seine Festplatte aufzuteilen. Das wäre doch mit Arbeit und Nachdenken /-forschung verbunden. Die meisten "PCs von der Stange" sind halt auch so aufgeteilt.
Und dann gilt noch: wer Backups macht ist feige ;)

Ajooo @cpt_void

da magst de sogar recht haben. Aber wenn du normalerweise heute ein Laptop kaufst, sind mindestens zwei Platten drin. Eine 120GB SSD und dann halt irgendeine HDD. Aber der Großteil von alten Rechnern hat bestimmt nur eine Platte drin.

Wenn man sich jetzt aber mal das Sempervideo anschaut. Beim zweiten Schritt, wo ja angeblich nach dem Neustart eine "Bereinigung" stattfindet. Das geht ja in gewisser Maßen so schnell, da würde ich jetzt nicht dumm gucken, wenn Petya die zweite interne Platte auch noch mit macht und es vll. 1-2 Minuten länger dauert. Das ist für mich gehupft wie gesprungen...


Am Ende sieht man ja, wer den längeren Faden in der Hand hält. Nämlich die mit dem Backup ;) ;)

Der Aufwand alle logischen bzw. physikalischen Laufwerke aufzulisten ist minimal, wenn man nicht die WinAPI verwenden will reicht auch kurz der shell call system("wmic diskdrive list") in C/C++.

Naja eigentlich dürfte es in Deutschland ja keine Probleme geben.

Original anzeigen (0,2 MB)



Venerdi