Schutz vor der modifizierten Variante der Ransomware Petya (Juni 2017)
Technische Artikel ID:
KB89540
Zuletzt geändert am: 2023-03-01 19:21:01 Etc/GMT
Umgebung
McAfee-Produkte, die DAT-Dateien verwenden
{CONSREDIR.DE_DE}
Artikel zu Petya für Consumer: TS102703.
Zusammenfassung
McAfee ist eine modifizierte Variante der Ransomware Petya (andere Namen: PetrWrap, PetWrap, Petya.A, Petja) bekannt, die in Unternehmensumgebungen erkannt wurde.
- McAfee hat eine EXTRA.DAT-Datei veröffentlicht (an diesen Artikel angehängt), die Schutz vor dieser Bedrohung bietet.
- McAfee hat auch eine Notfall-DAT-Datei veröffentlicht, die Schutz vor Petya bietet. Dieser Schutz wird auch in den nachfolgenden DAT-Dateien enthalten sein.
Der Schutz ist ab diesen DAT-Dateien enthalten:
- VSE (8574) oder höher
- ENS (3025) oder höher
- Die an diesen Artikel angehängte EXTRA.DAT-Datei ist in den oben erwähnten DAT-Dateien enthalten. Wenn Sie Ihr System noch nicht auf die oben genannten DAT-Dateien aktualisiert haben, sollten Sie weiterhin die an diesen Artikel angehängte EXTRA.DAT-Datei verwenden.
- Auch McAfee Global Threat Intelligence (GTI)-Datei-Reputation erkennt diese Bedrohung (bei der Einstellung Niedrig).
Die Beobachtungen und Analysen von McAfee finden Sie hier: https://securingtomorrow.mcafee.com/mcafee-labs/new-variant-petya-ransomware-spreading-like-wildfire.
Dieser Artikel wird aktualisiert, wenn weitere Informationen zur Verfügung stehen. Bitte sehen Sie regelmäßig nach, ob dieser Artikel aktualisiert wurde.
Letzte Aktualisierungen dieses Artikels
Sie können sich per E-Mail benachrichtigen lassen, sobald dieser Artikel aktualisiert wird, indem Sie rechts auf der Seite auf Abonnieren klicken. Zum Abonnieren müssen Sie angemeldet sein.
Datum |
Aktualisierung |
20. Juli 2017 |
Synonyme hinzugefügt, nach denen die Kunden auch gesucht haben. |
19. Juli 2017 |
Informationen bezüglich PSExec korrigiert. |
3. Juli 2017 |
Empfohlene Zugriffsschutzregeln für VirusScan Enterprise und Endpoint Security für eine effektivere Bekämpfung dieser speziellen Petya-Variante aktualisiert. |
28. Juni 2017 17:30 GMT |
Informationen über ENS-DAT-Datei (3025) hinzugefügt. |
28. Juni 2017 12:45 GMT |
Informationen über Notfall-DAT-Datei 8574 hinzugefügt. |
28. Juni 2017 12:10 GMT |
Link zu Beobachtungen und Analyse von McAfee hinzugefügt. |
28. Juni 2017 01:55 GMT |
Informationen über benutzerdefinierte Signaturen für Network Security (NSP) mit aktualisiertem Schutz hinzugefügt. |
28. Juni 2017 00:40 GMT |
Vorhandene Signaturen um 0x43c0bd00- NETBIOS-SS: MS17-010 SMB Remote Code Execution (Eternal Tools und Ransomware "WannaCry") ergänzt. |
27. Juni 2017 22:40 GMT |
- Zugriffsschutzregeln für VSE und ENS hinzugefügt.
- Weitere Ressourcen im Abschnitt Themenbezogene Informationen hinzugefügt.
|
27. Juni 2017 21:30 GMT |
- Einige Benutzer haben gemeldet, dass die aktualisierte EXTRA.DAT-Datei nicht verfügbar war, daher wurde sie umbenannt und erneut angehängt. Der korrekte Dateiname lautet EXTRADAT.zip.
- McAfee NSP-Schutz für Petya hinzugefügt.
|
27. Juni 2017 20:23 GMT |
Mit neuer EXTRA.DAT-Datei aktualisiert. |
Diese Bedrohung zeigt die folgenden Symptome:
- Die Verbreitung erfolgt offenbar über das Remotedesktopprotokoll (RDP) und/oder das Server Message Block-Protokoll (SMB).
- Auf einem infizierten PC wird möglicherweise die folgende Meldung von der Ransomware angezeigt:
Repairing file system on C:
The type of the file system is NTFS.
One of your disks contains errors and needs to be repaired. This process may take several hours to complete. It is strongly recommended to let it complete.
WARNING: DO NOT TURN OFF YOUR PC! IF YOU ABORT THIS PROCESS, YOU COULD DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN!
CHKDSK is repairing sector xxxxx of xxxxxxxx (x%) [Das Dateisystem auf C: wird repariert. Das Dateisystem ist vom Typ NTFS. Eine Ihrer Festplatten enthält Fehler und muss repariert werden. Dieser Prozess kann mehrere Stunden dauern. Es wird dringend empfohlen, zu warten, bis der Prozess abgeschlossen ist. ACHTUNG: SCHALTEN SIE IHREN PC NICHT AUS! WENN SIE DIESEN PROZESS ABBRECHEN, VERNICHTEN SIE MÖGLICHERWEISE ALLE DATEN! BITTE ACHTEN SIE DARAUF, DASS DIE STROMVERSORGUNG NICHT GETRENNT WIRD! CHKDSK repariert Sektor xxxxx von xxxxxxxx (x %)]
- Nach der Verschlüsselung der betroffenen Systeme wird der Benutzer aufgefordert, den Computer neu zu starten. Nach dem Neustart wird eine Lösegeldforderung auf dem Bildschirm angezeigt, die in etwa wie folgt aussieht:
- Nach aktuellem Kenntnisstand sind die folgenden Erweiterungen betroffen:
.3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip |
Lösung
Als vorbeugende Schutzmaßnahme sollten Sie alle Systeme mit MS17-010 aktualisieren, sofern dieser Patch nicht bereits installiert ist.
McAfee NSP-Schutz für die Ransomware Petya
Vorhandene Signaturen:
- 0x43c0bd00- NETBIOS-SS: MS17-010 Remote-Code-Ausführung in SMB (Eternal Tools und Ransomware "WannaCry")
- 0x43c0b800- NETBIOS-SS: Schwachstelle bezüglich der Verwechslung identischer MID- und FID-Typen in Windows SMBv1 (CVE-2017-0143)
- 0x43c0b400- NETBIOS-SS: Schwachstelle bezüglich Remote-Code-Ausführung in Windows SMB (CVE-2017-0144)
- 0x43c0b500- NETBIOS-SS: Schwachstelle bezüglich Remote-Code-Ausführung in Windows SMB (CVE-2017-0145)
- 0x43c0b300- NETBIOS-SS: Schwachstelle bezüglich des Schreibens außerhalb der Grenzen in Microsoft Windows SMB (CVE-2017-0146)
- 0x43c0b900- NETBIOS-SS: Schwachstelle bezüglich der Offenlegung von Informationen in Windows SMBv1 (CVE-2017-0147)
- 0x451e3300- HTTP: Schwachstelle bezüglich der Ausführung von beliebigem Code in Microsoft Office OLE (CVE-2017-0199)
Das NSP-Forschungsteam hat eine benutzerdefinierte Signatur mit aktualisiertem Schutz erstellt. Diese steht in KB55447 zum Download bereit.
Hinweis Die Inhalte, auf die verwiesen wird, sind nur für angemeldete Benutzer im ServicePortal verfügbar. Klicken Sie zum Anzeigen des Inhalts auf den Link, und melden Sie sich bei Aufforderung an.
Zugriffsschutzregeln für VirusScan Enterprise (VSE) und Endpoint Security (ENS)
Die folgenden Zugriffsschutzregeln für VSE und ENS helfen bei der Bekämpfung der Malware. McAfee hat die empfohlenen Zugriffsschutzregeln aktualisiert, um diese spezielle Petya-Variante noch effektiver bekämpfen zu können.
HINWEIS: Die Implementierung der EXTRA.DAT-Datei ist trotz dieser Zugriffsschutzregeln erforderlich. Sie unterstützen die Bekämpfung der Malware, können jedoch nicht verhindern, dass die Malware-Nutzlast auf einem System erstellt oder ausgeführt wird. Mit diesen beiden Zugriffsschutzregeln wird verhindert, dass rundll32.exe Instanzen von cmd.exe startet und dass das Dienstprogramm PSExec von Microsoft Technet erstellt wird. Sie können jedoch nicht verhindern, dass der ursprüngliche Dateiname für PSExec heruntergeladen und/oder gespeichert wird, sodass Administratoren dieses Dienstprogramm weiterhin verwenden können.
VSE-Zugriffsschutzregeln
Einzubeziehender Prozess: rundll32.exe
Auszuschließender Prozess:
Name der zu blockierenden Datei oder des zu blockierenden Ordners: cmd.exe
Aktionen: Ausführung blockieren
HINWEIS: Hiermit wird verhindert, dass der Prozess rundll32.exe Instanzen von cmd.exe startet, was ein wichtiges Verhaltensmerkmal der Malware ist. Dies schließt auch legitime Software ein, die dieses Verhalten zeigt, beispielsweise die benutzerdefinierte Skripterstellung.
Einzubeziehender Prozess: *
Auszuschließender Prozess:
Name der zu blockierenden Datei oder des zu blockierenden Ordners: **\PSEXESVC.EXE
Aktionen: Erstellung blockieren
HINWEIS: Hiermit wird die Erstellung des Remote-Dienstes von PSExec durch jegliche Prozesse verhindert. Dies kann zur Verhinderung der Replikation von PSExec (eine an der Replikation der Malware-Nutzlast beteiligte Komponente) beitragen. Es hindert Administratoren nicht daran, neue Kopien von PSExec auf Systemen zu speichern, in denen diese Regel angewendet wird, verhindert jedoch die Erstellung und damit die Nutzung von PSEXESVC.EXE im Zielsystem, sei es für bösartige oder reguläre administrative Zwecke.
ENS-Zugriffsschutzregeln
Erstellen Sie eine neue Regel mit dem Einschlussstatus "Einschließen", und geben Sie für den Dateinamen oder Pfad "rundll32.exe" an.
Erstellen Sie eine untergeordnete Regel mit dem Typ "Datei", und geben Sie als Ziel "cmd.exe" an.
Wählen Sie die Aktion "Ausführung verhindern" aus.
Erstellen Sie eine neue Regel mit dem Einschlussstatus "Einschließen", und geben Sie für den Dateinamen oder Pfad "*" an.
Erstellen Sie eine untergeordnete Regel mit dem Typ "Datei", und geben Sie als Ziel "**\PSEXESVC.EXE" an.
Wählen Sie die Aktion "Erstellung verhindern" aus.
Haftungsausschluss
Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.
|