Ersten Berichten zufolge wurde der von Angreifern am Dienstag aktivierte Verschlüsselungsvirus als Mitglied der bereits bekannten Petya-Ransomware-Familie eingestuft, später stellte sich jedoch heraus, dass es sich um eine neue Malware-Familie mit deutlich unterschiedlicher Funktionalität handelte. Kaspersky Lab synchronisiert neues Virus ExPetr.

„Die Analyse unserer Experten ergab, dass die Opfer zunächst keine Chance hatten, ihre Akten zurückzubekommen. „Forscher von Kaspersky Lab analysierten den Teil des Malware-Codes, der mit der Dateiverschlüsselung verbunden ist, und stellten fest, dass die Ersteller des Virus nach der Verschlüsselung der Festplatte nicht mehr in der Lage sind, sie wieder zu entschlüsseln“, berichtet das Labor.

Wie das Unternehmen feststellt, erfordert die Entschlüsselung eine eindeutige Kennung für eine bestimmte Trojaner-Installation. In bisher bekannten Versionen ähnlicher Verschlüsselungsprogramme Petya/Mischa/GoldenEye enthielt die Installationskennung die für die Entschlüsselung notwendigen Informationen. Im Fall von ExPetr existiert dieser Bezeichner nicht. Dies bedeutet, dass die Ersteller der Schadsoftware nicht an die Informationen gelangen können, die sie zum Entschlüsseln von Dateien benötigen. Mit anderen Worten: Opfer der Ransomware haben keine Möglichkeit, ihre Daten zurückzubekommen, erklärt Kaspersky Lab.

Der Virus blockiert Computer und verlangt Bitcoins im Wert von 300 US-Dollar, sagte Group-IB gegenüber RIA Novosti. Der Angriff begann am Dienstag gegen 11:00 Uhr. Medienberichten zufolge waren bis Mittwoch, 18 Uhr, neun Überweisungen auf dem Bitcoin-Wallet eingegangen, das für die Überweisung von Geldern an die Erpresser vorgesehen war. Unter Berücksichtigung der Überweisungsprovision überwiesen die Opfer den Hackern etwa 2,7 Tausend Dollar.

Im Vergleich zu WannaCry gilt dieser Virus als zerstörerischer, da er sich über mehrere Methoden verbreitet – von unter Verwendung von Windows Management Instrumentation, PsExec und EternalBlue-Exploit. Darüber hinaus ist die Ransomware eingebettet kostenloses Dienstprogramm Mimikatz.

Die Zahl der vom neuen „neuen Petya“-Verschlüsselungsvirus angegriffenen Benutzer hat 2.000 erreicht, berichtete Kaspersky Lab, das die Welle von Computerinfektionen untersucht, am Mittwoch.

Nach Angaben des Antiviren-Unternehmens ESET begann der Angriff in der Ukraine, die stärker betroffen war als andere Länder. Laut der Unternehmensbewertung der vom Virus betroffenen Länder liegt Italien nach der Ukraine an zweiter Stelle und Israel an dritter Stelle. Zu den Top Ten zählten außerdem Serbien, Ungarn, Rumänien, Polen, Argentinien, Tschechien und Deutschland. Russland belegte in dieser Liste den 14. Platz.

Darüber hinaus hat Avast erklärt, was genau Betriebssysteme litten am meisten unter dem Virus.

An erster Stelle stand Windows 7 – 78 % aller infizierten Computer. Als nächstes folgen Windows XP (18 %), Windows 10 (6 %) und Windows 8.1 (2 %).

Somit hat WannaCry der Weltgemeinschaft praktisch nichts beigebracht – Computer blieben ungeschützt, Systeme wurden nicht aktualisiert und Microsofts Bemühungen, Patches auch für veraltete Systeme herauszugeben, gingen einfach umsonst.

Eine Welle eines neuen Verschlüsselungsvirus, WannaCry (andere Namen Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), ist über die Welt geschwappt, der Dokumente auf einem Computer verschlüsselt und 300–600 USD für deren Entschlüsselung erpresst. Wie können Sie feststellen, ob Ihr Computer infiziert ist? Was sollten Sie tun, um nicht zum Opfer zu werden? Und was tun, um sich zu erholen?

Nach der Installation der Updates müssen Sie Ihren Computer neu starten.

Wie kann man sich vom Wana Decrypt0r-Ransomware-Virus erholen?

Wenn das Antiviren-Dienstprogramm einen Virus erkennt, entfernt es ihn entweder sofort oder fragt Sie, ob er behandelt werden soll oder nicht? Die Antwort ist behandeln.

Wie kann man mit Wana Decryptor verschlüsselte Dateien wiederherstellen?

Nichts Tröstliches im Moment Wir können es nicht sagen. Es wurde noch kein Datei-Entschlüsselungstool erstellt. Jetzt müssen wir nur noch warten, bis der Entschlüsseler entwickelt ist.

Laut Brian Krebs, einem Experten für Computersicherheit, haben die Kriminellen bisher nur 26.000 US-Dollar erhalten, das heißt, nur etwa 58 Personen haben sich bereit erklärt, das Lösegeld an die Erpresser zu zahlen. Niemand weiß, ob sie ihre Dokumente wiederhergestellt haben.

Wie kann man die Verbreitung eines Virus online stoppen?

Im Fall von WannaCry besteht die Lösung des Problems möglicherweise darin, Port 445 in der Firewall zu blockieren ( Firewall), durch die eine Infektion erfolgt.

Eine neue Welle von Ransomware-Angriffen hat die Welt erfasst, unter den Opfern sind auch russische Medien und ukrainische Unternehmen. In Russland litt Interfax unter dem Virus, der Angriff betraf jedoch nur einen Teil der Agentur, da es ihren IT-Diensten gelang, einen Teil der kritischen Infrastruktur abzuschalten, teilte das russische Unternehmen Group-IB in einer Erklärung mit. Sie nannten den Virus BadRabbit.

Der stellvertretende Direktor der Agentur, Yuri Pogorely, berichtete auf seiner Facebook-Seite über den beispiellosen Virenangriff auf Interfax. Zwei Interfax-Mitarbeiter bestätigten gegenüber Wedomosti, dass die Computer ausgeschaltet seien. Einer von ihnen zufolge sieht der visuell gesperrte Bildschirm wie das Ergebnis von Aktionen aus bekanntes Virus Petja. Der Virus, der Interfax befallen hat, warnt davor, Dateien selbst zu entschlüsseln, und fordert die Zahlung eines Lösegelds von 0,05 Bitcoin (285 US-Dollar zum gestrigen Kurs) und lädt Sie dazu auf eine spezielle Website im Tor-Netzwerk ein. Der Virus hat dem verschlüsselten Computer einen persönlichen Identifikationscode zugewiesen.

Neben Interfax litten zwei weitere russische Medienunternehmen unter dem Verschlüsselungsvirus, darunter die St. Petersburger Publikation Fontanka, weiß Group-IB.

Der Chefredakteur von Fontanka, Alexander Gorshkov, sagte gegenüber Wedomosti, dass die Fontanka-Server von unbekannten Angreifern angegriffen worden seien. Gorshkov versichert jedoch, dass von einem Angriff eines Ransomware-Virus auf Fontanka keine Rede sein könne: Die Computer der Redaktion seien funktionsfähig und der Server, der für den Betrieb der Seite verantwortlich sei, sei gehackt worden.

Die Interfax-Abteilungen in Großbritannien, Aserbaidschan, Weißrussland und der Ukraine sowie die Interfax-Religion-Website seien weiterhin in Betrieb, sagte Pogorely gegenüber Wedomosti. Es sei nicht klar, warum der Schaden keine anderen Abteilungen betraf; möglicherweise liege dies an der Topologie des Interfax-Netzwerks, wo sich die Server geografisch befinden, und an dem darauf installierten Betriebssystem, sagt er.

Das ukrainische Interfax berichtete am Dienstagnachmittag über einen Hackerangriff auf Internationaler Flughafen Odessa. Der Flughafen entschuldigte sich auf seiner Website bei den Passagieren „für die erzwungene Verlängerung der Servicezeit“, doch seiner Online-Anzeigetafel zufolge schickte und empfing er am Dienstag weiterhin Flugzeuge.

Auch die Kiewer U-Bahn berichtete über den Cyberangriff auf ihr Facebook-Konto – es gab Probleme bei der Bezahlung der Fahrpreise Bankkarten. Front News berichtete, dass die Metro von einem Verschlüsselungsvirus angegriffen wurde.

Gruppe-IB kommt zu dem Schluss, dass es eine neue Epidemie gibt. In den letzten Monaten haben bereits zwei Wellen von Ransomware-Angriffen die Welt erfasst: Am 12. Mai erschien der WannaCry-Virus und am 27. Juni der Petya-Virus (auch bekannt als NotPetya und ExPetr). Sie drangen in Computer mit dem Windows-Betriebssystem ein, auf denen keine Updates installiert waren, verschlüsselten den Inhalt von Festplatten und verlangten 300 US-Dollar für die Entschlüsselung. Wie sich später herausstellte, dachte Petja nicht einmal daran, die Computer der Opfer zu entschlüsseln. Beim ersten Angriff waren Hunderttausende Computer in mehr als 150 Ländern betroffen, beim zweiten waren 12.500 Computer in 65 Ländern betroffen. Auch Russen wurden Opfer der Anschläge. Megaphon », Evraz , « Gazprom" Und " Rosneft" Auch die medizinischen Zentren von Invitro litten unter dem Virus, da sie mehrere Tage lang keine Tests von Patienten akzeptierten.

Petya schaffte es, in fast anderthalb Monaten nur 18.000 Dollar einzusammeln, aber der Schaden war ungleich größer. Eines seiner Opfer, der dänische Logistikriese Moller-Maersk, schätzte den durch den Cyberangriff entgangenen Umsatz auf 200 bis 300 Millionen US-Dollar.

Unter den Geschäftsbereichen von Moller-Maersk erlitt der größte Schlag Maersk Line, die im Seetransport von Containern tätig ist (im Jahr 2016 verdiente Maersk Line insgesamt 20,7 Milliarden US-Dollar, der Geschäftsbereich beschäftigt 31.900 Mitarbeiter).

Die Unternehmen erholten sich schnell von dem Angriff, doch Unternehmen und Aufsichtsbehörden blieben vorsichtig. So kam es im August zum Bundesamt Netzwerkunternehmen UES (verwaltet das gesamtrussische Stromnetz) und einige Tage später erhielten russische Banken eine ähnliche Warnung von FinCERT (der für Cybersicherheit zuständigen Zentralbankstruktur).

Der neue Verschlüsselungsvirus-Angriff wurde auch von Kaspersky Lab bemerkt, wonach sich die meisten Opfer des Angriffs in Russland befinden, es jedoch Infektionen in der Ukraine, der Türkei und Deutschland gibt. Alle Anzeichen deuten darauf hin, dass es sich um einen gezielten Angriff auf Unternehmensnetzwerke handelt, sagt Vyacheslav Zakorzhevsky, Leiter der Antiviren-Forschungsabteilung bei Kaspersky Lab: Es werden ähnliche Methoden wie die ExPetr-Tools verwendet, es lässt sich jedoch kein Zusammenhang mit diesem Virus nachweisen.

Und laut dem Antiviren-Unternehmen Eset handelt es sich bei der Ransomware immer noch um einen Verwandten von Petya. Bei dem Angriff wurde die Malware Diskcoder.D verwendet, eine neue Modifikation des Verschlüsselungsprogramms.

Pogorely sagte, dass Symantec Antivirus auf Interfax-Computern installiert sei. Vertreter von Symantec antworteten gestern nicht auf die Anfrage von Wedomosti.

Facebook

Twitter

VK

Odnoklassniki

Telegramm

Naturwissenschaft

WannaCry-Ransomware-Virus: Was tun?

Eine Welle eines neuen Verschlüsselungsvirus, WannaCry (andere Namen Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), ist über die Welt geschwappt, der Dokumente auf einem Computer verschlüsselt und 300–600 USD für deren Entschlüsselung erpresst. Wie können Sie feststellen, ob Ihr Computer infiziert ist? Was sollten Sie tun, um nicht zum Opfer zu werden? Und was tun, um sich zu erholen?

Ist Ihr Computer mit dem Wana Decryptor-Ransomware-Virus infiziert?

Laut Jacob Krustek () von Avast wurden bereits über 100.000 Computer infiziert. 57 % davon befinden sich in Russland (ist das nicht eine seltsame Selektivität?). meldet die Registrierung von mehr als 45.000 Infektionen. Befallen sind nicht nur Server, sondern auch die Computer von Normalbürgern, auf denen Betriebssysteme installiert sind. Windows-Systeme XP, Windows Vista, Windows 7, Windows 8 und Windows 10. Alle verschlüsselten Dokumente haben das Präfix WNCRY im Namen.

Der Schutz vor dem Virus wurde bereits im März gefunden, als Microsoft einen „Patch“ veröffentlichte, aber dem Ausbruch der Epidemie nach zu urteilen, waren viele Benutzer, darunter Systemadministratoren, ignorierte das Computersicherheitsupdate. Und was passiert ist, ist passiert: Megafon, die Russische Eisenbahn, das Innenministerium und andere Organisationen arbeiten an der Behandlung ihrer infizierten Computer.

Angesichts des globalen Ausmaßes der Epidemie veröffentlichte Microsoft am 12. Mai ein Schutzupdate für lange Zeit nicht unterstützte Produkte – Windows XP und Windows Vista.

Sie können mit einem Antivirenprogramm, zum Beispiel Kaspersky oder (wird auch im Kaspersky-Supportforum empfohlen) überprüfen, ob Ihr Computer infiziert ist.

Wie kann man vermeiden, Opfer des Ransomware-Virus Wana Decryptor zu werden?

Das erste, was Sie tun müssen, ist, das Loch zu schließen. Laden Sie dazu herunter