Getarnte Ransomware: Experten sagen, Petya will zerstören, nicht Lösegeld

Petya Lösegeldforderung

Bild: Symantec

Den Opfern des Petya-Ausbruchs dieser Woche wird ein weiterer Grund gegeben, nicht zu zahlen – die Malware ist nicht in der Lage, Dateien wiederherzustellen.

Forscher von Comae Technologies und Kaspersky Lab sind unabhängig voneinander zu dem gleichen Schluss gekommen, dass Petya ein Wiper und keine Ransomware ist.

Anton Ivanov und Orkhan Mamedov von Kaspersky Lab sagten, die Malware solle sich als Ransomware tarnen, und der „Installationsschlüssel“, der dem Benutzer auf einer Petya-Lösegeldforderung angezeigt wird, seien lediglich zufällige Daten.

„Das bedeutet, dass der Angreifer aus einer solchen zufällig generierten Zeichenfolge, die auf dem Opfer angezeigt wird, keine Entschlüsselungsinformationen extrahieren kann, und infolgedessen können die Opfer keine der verschlüsselten Festplatten mit der Installations-ID entschlüsseln“, sagte das Paar.

„Was bedeutet das? Nun, erstens sind dies die Worst-Case-Nachrichten für die Opfer – selbst wenn sie das Lösegeld zahlen, werden sie ihre Daten nicht zurückbekommen. Zweitens bestärkt dies die Theorie, dass das Hauptziel des ExPetr Der Angriff war nicht finanziell motiviert, sondern destruktiv.”

Infizierten Nutzern wird in der Lösegeldforderung eine inzwischen nicht mehr existierende E-Mail-Adresse angezeigt, nachdem diese am Dienstag vom E-Mail-Anbieter Posteo abgeschaltet wurde. Zum Zeitpunkt des Verfassens dieses Artikels hatte die an die Malware gebundene Bitcoin-Wallet rund 10.300 US-Dollar an Lösegeldern gesammelt.

Matt Suiche von Comae Technologies sagte, die Malware habe absichtlich die ersten 25 Blöcke auf einer Festplatte überschrieben.

„Wir glauben, dass die Ransomware tatsächlich ein Köder war, um die Medienerzählung zu kontrollieren, insbesondere nach den WannaCry-Vorfällen, um die Aufmerksamkeit auf eine mysteriöse Hackergruppe zu lenken und nicht auf einen nationalen Staatsangreifer, wie wir es in der Vergangenheit in Fällen gesehen haben, in denen Wiper wie z Shamon“, schrieb er.

Laut Suiche, während die früheren Versionen von Petya wiederhergestellt werden konnten, richtet Petya in seiner neuesten Form dauerhaften Schaden an.

Einen Tag nach Beginn des Petya-Ausbruchs wurden mindestens 2.000 Angriffe in über 64 Ländern registriert.

Microsoft bestätigte gestern anhand seiner Telemetriedaten, dass eine Reihe von Erstinfektionen über die in der Ukraine ansässige Steuerbuchhaltungssoftware MEDoc aufgetreten sind.

„Obwohl dieser Vektor von Nachrichtenmedien und Sicherheitsforschern – einschließlich der ukrainischen Cyberpolizei – ausführlich spekuliert wurde, gab es nur Indizienbeweise für diesen Vektor. Microsoft hat jetzt Beweise dafür, dass einige aktive Infektionen der Ransomware ursprünglich vom legitimen MEDoc ausgingen Updater-Prozess”, sagte Microsoft.

Am Mittwoch sagte Nato-Generalsekretär Jens Stoltenberg, der Artikel über die kollektive Verteidigung im Nordatlantikvertrag könne angesichts eines Cyberangriffs geltend gemacht werden.

Wir haben auch entschieden, dass ein Cyber-Angriff Artikel 5 auslösen kann, und wir haben auch entschieden – und wir sind dabei, Cyber ​​als militärische Domäne zu etablieren, was bedeutet, dass wir Land, Luft, Meer und Cyber ​​als Militär haben werden Domänen“, sagte er.

der Petya-Angriff

  • Experten sagen, Petya vernichte kein Lösegeld
  • NATO: Angriffe könnten Kollektivverteidigungsklausel auslösen
  • Hier ist, warum dies wieder passiert
  • Sechs schnelle Fakten über den Petya-Angriff
  • Microsoft: Petya-Infektion verbreitet durch gehackten Software-Updater
  • Erstellen Sie eine einzelne Datei, um sich zu schützen
  • Ransomware: Ein Leitfaden für Führungskräfte zu einer der größten Bedrohungen im Internet

Leave a Comment