Petya Virus
„Petya“, das klingt täuschend harmlos. Der Name ist in slawischen Sprachen ein Kosename für Peter. Bei Petya handelt es sich aber um Ransomware – eine Form von Malware, die auch Erpressertrojaner genannt wird. Die Schadsoftware verschlüsselt Daten des Benutzers und fordert ihn auf, Lösegeld zu zahlen, um sie wieder zu entschlüsseln.
Unterschiedliche Versionen der Malware
Von Petya wurden seit 2016 unterschiedliche Versionen in Umlauf gebracht. Die Verschlüsselung der ersten beiden Varianten gilt mittlerweile als geknackt. Für den ursprünglichen Petya-Trojaner hat ein anonymer Computerspezialist die Software hack petya veröffentlicht. Diese erstellt ein Passwort, mit dem der Zugriff auf die verschlüsselten Daten möglich ist.
Für eine weitere Variante hat das Unternehmen Ingenieursozietät Dipl.- Ing. Rolf B. Drescher VDI & Partner eine Entschlüsselung veröffentlicht. Die Malware-Entwickler rächten sich umgehend, indem sie eine neue Version des Trojaners, die Goldeneye genannt wird, von gefälschten E-Mail-Adressen des Unternehmens aus verschickten. Weitere Varianten von Petya sind unter den Namen PetrWrap, Mamba und Mischa bekannt.
Für neuere Vertreter der Petya-Reihe wurde bisher noch keine Entschlüsselung entwickelt. Es ist auch zweifelhaft, ob dies überhaupt möglich ist. Sie enthalten nämlich einen Programmfehler, der eine korrekte Entschlüsselung verhindert. Auch die Erpresser selbst sind vermutlich nicht in der Lage, die Daten wieder zu entschlüsseln. Opfer sollten also auf keinen Fall das geforderte Lösegeld bezahlen, denn auch dadurch erhalten sie ihre Daten nicht zurück. Das ist überhaupt ein Tipp, den alle Opfer von Ransomware beherzigen sollten, da es kaum vorkommt, dass die Täter nach erfolgter Zahlung die Daten wirklich wieder freigeben.
Wie kann ich mich vor Petya schützen?
Bei Petya handlet es sich also um eine besonders gefährliche Malware. Was können Anwender tun, um nicht zum Opfer zu werden. Drei Maßnahmen bringen hohe Sicherheit:
- Verwenden Sie ein Antivirenprogramm und sorgen Sie dafür, dass es immer die aktuellsten Virensignaturen herunterlädt.
- Öffnen Sie keine unverlangt zugesandten Dateien.
- Halten Sie Ihr Betriebssystem stets aktuell.
Alle namhaften Antivirenprogramme erkennen mittlerweile die bereits in Umlauf befindlichen Versionen von Petya einschließlich der stark veränderten Variante NoPetya und verhindern zuverlässig eine Infektion. Gegen neuentwickelte Varianten der Malware sind sie allerdings zumindest in der ersten Zeit ihres Auftretens noch nicht gewappnet. Meist nehmen die Hersteller der Programme neuentdeckte Schädlinge bereits kurz nach ihrer ersten Sichtung in ihre Signaturdatenbanken auf. Für Anwender ist es daher ratsam, ihren Virenscanner regelmäßig zu aktualisieren. Gute Antivirenprogramme aktualisieren sich automatisch in regelmäßigen Abständen.
Um die Infektion des Rechners mit neuen Malware-Varianten zu verhindern, ist es besonders wichtig, beim Öffnen von E-Mail-Anhängen größte Vorsicht walten zu lassen. Petya und viele andere Trojaner verbreiten sich nämlich per E-Mail mit einem Anhang, der beispielsweise als PDF-Datei getarnt ist, in Wirklichkeit aber die Ransomware enthält. Wenn Anwender keine Anhänge von unbekannten Absendern öffnen, die sie nicht erwartet haben, sind sie auf der sicheren Seite.
Wenn der Schädling allerdings bereits in das Firmennetzwerk eingedrungen ist, hilft auch das sorgsamste Verhalten im Umgang mit E-Mails nichts mehr. Petya hat nämlich die Fähigkeit, sich selbständig im lokalen Netzwerk zu verbreiten. Dazu nutzt das Schadprogramm Sicherheitslücken in Microsoft Windows aus. Diese wurden allerdings inzwischen längst geschlossen. Wer also sein Betriebssystem mit den neuesten Updates auf dem aktuellen Stand hält, nimmt dem Computerwurm die Möglichkeit, sich auf diesem Weg zu verbreiten. Computer mit alternativen Betriebssystemen wie Linux und macOS sind ohnehin sicher. Petya befällt nur Windows-Rechner.
Eine gezielte Attacke auf die Ukraine?
An 27. Juni 2017 wurden viele Rechner auf der ganzen Welt von einer neuen Petya-Angriffswelle getroffen. Besonders in der Ukraine richtete sie großen Schaden an. Das prominenteste Opfer dieser Angriffswelle war das Kernkraftwerk Tschernobyl. Betroffen waren dort aber keine essentiellen technischen Systeme, sondern die Windows-Computer, die zur Radioaktivitätsmessung eingesetzt wurden. Die Mitarbeiter mussten auf manuelle Messung zurückgreifen.
Ein wichtiger Verbreitungsvektor bei dieser Angriffswelle war das Update des Buchhaltungsprogramms M.E.Doc, das alle Unternehmen verwenden müssen, die mit der ukrainischen Regierung zusammenarbeiten. Unter den Betroffenen befanden sich auch internationale Unternehmen mit Geschäftsbeziehungen in der Ukraine wie die deutsche Beiersdorf AG, der russische Ölkonzern Rosneft und der internationale Lebensmittelriese Mondelēz.
Die Ransomware mutiert zum Wiper
Obwohl die im Juni 2017 veröffentlichte Schadsoftware auf den ersten Blick an Petya erinnerte, stellten Sicherheitsexperten bei einer genaueren Analyse fest, dass sie nur oberflächliche Ähnlichkeiten mit Petya aufweist. Sie erhielt daher den Spitznamen NotPetya.
Die ursprünglichen Petya-Versionen waren ganz klar darauf ausgerichtet, Geld zu erbeuten. Die Entwickler betrieben sogar ein kriminelles Affiliate-Netzwerk, bei dem sich Dritte registrieren konnten, um dann gegen „Gewinnbeteiligung“ den Trojaner weiterzuverbreiten. Im Fall von NotPetya gibt es allerdings berechtigte Zweifel daran, dass es den Verbreitern der Malware ums Geld geht. In dieser Hinsicht ist der Trojaner nämlich relativ amateurhaft gestaltet. Unter anderem gibt er als einzige Kommunikationsweg mit den Erpressern eine E-Mail-Adresse des E-Mail-Anbieters Posto aus Berlin an, die von diesem schon wenige Stunden nach den ersten Vorfällen deaktiviert wurde. Damit haben die Erpresser keine Möglichkeit mehr, mit ihren Opfern zu kommunizieren.
Experten gehen daher davon aus, dass NotPetya nur zu Tarnung als Ransomware agiert und sein wahres Ziel darin besteht, möglichst großen Schaden auf den befallenen Rechnern anzurichten. Es wäre damit ein Wiper, also eine Schadsoftware, die es auf Datenvernichtung abgesehen hat.