Aktualisiert 28.06.2017 20:57

AngriffswelleSo schützen Sie sich vor Petya

Derzeit legt eine Schadsoftware reihenweise Computer rund um den Globus lahm. 20 Minuten erklärt, wie Sie sich vor einem Angriff schützen können.

von
tob
1 / 16
Petya: Am 27. Juni 2017 wurde die Ransomware Petya losgelassen. Weltweit wurden PC-Systeme gesperrt. Betroffen von dem Angriff waren unter anderem der Ölkonzern Rosneft, die dänische Reederei Maersk und das britische Werbeunternehmen WPP. Am meisten Infizierungen gab es in der Ukraine. Getroffen hat es auch diesen Supermarkt in der zweitgrössten Stadt der Ukraine, Charkiw. Die Verteilung der Schadsoftware gelang unter anderem über NSA-Exploits, die gestohlen wurden.

Petya: Am 27. Juni 2017 wurde die Ransomware Petya losgelassen. Weltweit wurden PC-Systeme gesperrt. Betroffen von dem Angriff waren unter anderem der Ölkonzern Rosneft, die dänische Reederei Maersk und das britische Werbeunternehmen WPP. Am meisten Infizierungen gab es in der Ukraine. Getroffen hat es auch diesen Supermarkt in der zweitgrössten Stadt der Ukraine, Charkiw. Die Verteilung der Schadsoftware gelang unter anderem über NSA-Exploits, die gestohlen wurden.

Twitter/Mikhail Golub
Wanna-Cry: Die Schadsoftware infizierte Mitte 2017 mehrere Hunderttausend Systeme in 150 Ländern und verschlüsselte alle Dateien auf den PCs. Die Angreifer forderten darauf ein Lösegeld, um die Files wieder freizugeben. Betroffen waren zahlreiche Firmen, darunter Renault, Fedex oder die britische Gesundheitsbehörde. Grund für die rasende Verbreitung: Wanna-Cry nutzte eine Lücke, die zuvor beim US-Auslandgeheimdienst NSA gestohlen worden war.

Wanna-Cry: Die Schadsoftware infizierte Mitte 2017 mehrere Hunderttausend Systeme in 150 Ländern und verschlüsselte alle Dateien auf den PCs. Die Angreifer forderten darauf ein Lösegeld, um die Files wieder freizugeben. Betroffen waren zahlreiche Firmen, darunter Renault, Fedex oder die britische Gesundheitsbehörde. Grund für die rasende Verbreitung: Wanna-Cry nutzte eine Lücke, die zuvor beim US-Auslandgeheimdienst NSA gestohlen worden war.

epa/Ritchie B. Tongo
Industroyer: Forscher der Sicherheitsfirma Eset berichten von einer Schadsoftware, die Blackouts in Stromnetzen erzeugen kann. Der sogenannte Industroyer soll Ende 2016 für einen Stromausfall in der ukrainischen Hauptstadt Kiew verantwortlich gewesen sein.

Industroyer: Forscher der Sicherheitsfirma Eset berichten von einer Schadsoftware, die Blackouts in Stromnetzen erzeugen kann. Der sogenannte Industroyer soll Ende 2016 für einen Stromausfall in der ukrainischen Hauptstadt Kiew verantwortlich gewesen sein.

Flickr/Doug Beckers

Seit gestern Morgen sorgt eine neue Schadsoftware für Wirbel. Ein Erpressungstrojaner sperrt weltweit Computer und hat Firmen weltweit ausser Gefecht gesetzt. 20 Minuten klärt die wichtigsten Fragen zur aktuellen Angriffswelle.

Wie heisst der Schädling?

Petya, NotPetya, ExPetr, Pnyetya – die Schadsoftware, die sich aktuell in Umlauf befindet, hat etliche Namen erhalten, was bei Nutzern zusätzlich für Verwirrung sorgt. Marc Ruef, IT-Experte bei der Zürcher Firma Scip AG, bemängelt dies: «Jeder Anti-Viren-Hersteller pflegt eine Malware leicht anders zu benennen.» Seit Jahrzehnten wird eine einheitliche Namensgebung vorgeschlagen, um Widersprüche und Duplikate zu verhindern. Nachfolgend wird der Schädling als Petya bezeichnet.

Wie kann ich mich vor der Cyberattacke schützen?

Petya nutzt für die Verbreitung Schwachstellen in Windows. Microsoft hat für diese schon vor mehreren Wochen Patches herausgegeben. Durch deren Installation kann das Risiko einer Infektion vermindert werden. Ruef: «Die Anti-Viren-Hersteller erkennen die Schadsoftware mittlerweile.»

Wie verteilt sich die Schadsoftware?

Ersten Berichten zufolge läuft die Verteilung unter anderem über die sogenannten Eternalblue-Exploits ab. Das sind Schwachstellen, die vom US-Geheimdienst NSA ausgenutzt, dann gestohlen und schliesslich veröffentlicht wurden. Zudem wird berichtet, dass auch eine Schwachstelle in Microsoft Office ausgenutzt werde. Auslöser der Welle war laut den Sicherheitsforschern von Malwarebytes jedoch das ukrainische Buchhaltungsprogramm Me-Doc, das Petya in einem Update auslieferte.

Was genau macht die Schadsoftware?

Ransomware verschlüsselt typischerweise einzelne Dateien auf der Festplatte. Petya geht laut Ruef einen anderen Weg: Der PC wird zu einem Neustart gezwungen, und dann wird die Master-File-Table (MFT) verschlüsselt. Das ist quasi das Inhaltsverzeichnis sämtlicher Dateien. Würgt man den PC während des Vorgangs ab, kann eine Verschlüsselung laut Ruef verhindert werden. Er hält fest: «Die Entwickler waren definitiv keine Amateure.»

Sind meine Daten futsch, wenn ich infiziert wurde?

Für manche Ransomware fertigt irgendjemand früher oder später ein Tool an, um auch ohne Bezahlung wieder an die Daten zu kommen. Dies dürfte hier auch der Fall sein, so Ruef. Wer kurzfristig auf die Daten angewiesen ist, hat das Nachsehen. Mittlerweile wurden knapp 9000 Dollar an Lösegeld bezahlt. Die Experten vom Bund raten in jedem Fall von einer Bezahlung eines Lösegelds ab, denn auch beim aktuellen Fall ist die Chance auf Entsperrung der Dateien durch die Kriminellen gering, da der mit dem Erpressungsversuch verknüpfte E-Mail-Account vom Anbieter bereits gesperrt worden ist.

Vor rund sechs Wochen nutzte die Ransomware Wanna-Cry die gleichen Schwachstellen aus. Wieso haben viele Firmen bis heute ihre Systeme nicht aktualisiert?

Hierfür gebe es verschiedene Gründe, erklärt Ruef. Manche Systeme lassen sich zum Beispiel nicht ohne weiteres updaten. Zum Beispiel Medizinalgeräte, die dadurch ihre Marktzulassung verlieren würden. Oder alte Industriesysteme, die schlichtweg nicht mit neuen Software-Versionen umgehen können. Unabhängig davon unterschätzen viele Unternehmen noch immer das Risiko. Cyber-Security ist die brutale Wahrheit einer digitalisierten Gesellschaft. Das Problem zu ignorieren, funktioniert definitiv nicht.

Sind Sie oder Ihre Firma vom Cyberangriff betroffen? Erzählen Sie uns Ihre Geschichte. Auf Wunsch anonymisieren wir Ihre Angaben.

Sind Sie oder Ihre Firma vom Cyberangriff betroffen? Erzählen Sie uns Ihre Geschichte. Auf Wunsch anonymisieren wir Ihre Angaben.

Deine Meinung

Fehler gefunden?Jetzt melden.