Sicherheitsforscher: Petya.2017 soll Daten zerstören und nicht verschlüsseln

Zu dieser Erkenntnis kommen Kaspersky und Comae Technologies. Die neue Petya-Variante soll unter anderem den Master Boot Record irreversibel überschreiben. Comae Technologies vermutet deswegen einen Nationalstaat hinter dem Angriff.

Sicherheitsforscher von Comae Technologies und Kaspersky haben unabhängig voneinander herausgefunden, dass die neue Variante der Ransomware Petya/NotPetya, die seit vorgestern Organisationen weltweit befällt, gar keine Erpressersoftware ist. Eine Analyse des Programmcodes zeige vielmehr, dass der Schädling nicht in der Lage ist, die am System vorgenommenen Änderungen rückgängig zu machen. Stattdessen soll die Malware nur einen Zweck verfolgen, nämlich Daten irreversibel zu zerstören.

Malware (Bild: Shutterstock)Die Ransomware Petya ist dafür bekannt, dass sie Dateien nicht nur verschlüsselt, sondern auch den Master Boot Record und den Master File Table manipuliert, um Datenrettungsversuche seiner Opfer zu unterbinden. Während frühere Versionen von Petya jedoch beispielsweise den Master Boot Record korrekt auslesen und verschlüsselt speichern, überschreibt die neue Variante den MBR Block für Block, ohne irgendwelche Daten zu hinterlegen. „2016 Petya verändert die Festplatte so, dass es die Änderungen tatsächlich rückgängig machen kann. 2017 Petya hingegen fügt der Festplatte dauerhaften und unumkehrbaren Schaden zu“, lautet das Fazit der Forscher von Comae Technologies.

Kaspersky zufolge ist aber auch die Installations-ID, die laut der Lösegeldforderung für die Generierung des Entschlüsselungsschlüssels benötigt wird, nur eine zufällige Zahlenfolge, die keinerlei Bezug zum System des Opfers hat. Sie enthält also auch keine Informationen für die Erstellung eines Schlüssels, mit dem die Verschlüsselung aufgehoben werden kann.

„Was bedeutet das? Zuerst einmal ist das eine schlechte Nachricht für die Opfer – selbst wenn sie das Lösegeld zahlen, erhalten sie ihre Daten nicht zurück“, schreibt Kaspersky in einem Blogeintrag. „Zweitens bestätigt das unsere Theorie, dass der Angriff nicht finanziell motiviert war, sondern zerstören sollte.“

Comae Technologies vermutet, dass die Hintermänner der neuen Petya-Variante lediglich versucht haben, ihren Angriff als Ransomware-Kampagne zu tarnen. Es schließt deswegen nicht aus, dass die Angriffe von staatlicher Seite unterstützt wurden.

Dieser Vermutung widerspricht der finnische Sicherheitsanbieter F-Secure in einer FAQ. Er stuft nach einer Analyse des MBR-Codes die Malware als Variante von Petya und auch als Ransomware ein. „Wir haben den Code geprüft und haben bisher keine Hinweise darauf gefunden, dass diese Malware irgendetwas anderes sein will als eine Ransomware“, sagte Karmina Aquino, Service Lead bei F-Secure Labs. Security Advisor Sean Sullivan ergänzte in Bezug auf eine staatliche Unterstützung: „Darauf würde ich im Moment nicht setzen.“

Es sei auch zu früh, um über die von Microsoft vermutete Herkunft der neuen Petya-Variante zu spekulieren. Dem Softwarekonzern zufolge wurde die Malware über ein gefälschtes Update einer Buchhaltungssoftware in Umlauf gebracht.

WEBINAR

Von Software Defined bis Composable – Neue Architekturansätze im Datacenter

Florian Bettges von HPE erläutert in diesem Webinar, wie Unternehmen von hybriden IT-Konzepten profitieren können. Dabei geht er auf die Vorteile der einzelnen Ansätze ein und stellt Konzepte vor, wie die unterschiedlichen Ansätze in Zukunft in hybriden IT-Konzepten ineinander fließen. Jetzt registrieren und Webinaraufzeichnung ansehen.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Cybercrime, F-Secure, Hacker, Kasperksy, Malware, Ransomware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Sicherheitsforscher: Petya.2017 soll Daten zerstören und nicht verschlüsseln

Kommentar hinzufügen
  • Am 2. Juli 2017 um 14:42 von Daniel

    Es war schon zu vermuten, dass es nicht um Lösegelderpressung ging, als bekannt wurde, dass nur eine Emailadresse als Kontaktmöglichkeit angeben war. Denn die wurde vom Provider erwartungsgemäß schnell abgeschaltet.
    Man sollte an dem Beispiel lernen, dass das Täuschung hier zum „Geschäft“ gehört. Darum sollte man jetzt nicht unkritisch den nächstwahrscheinlicheren Urheber der Schadsoftware als einzig möglichen ansehen. Natürlich haben die Russen ein Motiv dem Gegner im lauwarmen Krieg, nämlich der Urkaine den Gledhahn zu zu drehen indem man Steuerzahlungen sabotiert. Aber es gibt auch im Westen politische Kräfte, die den Konflikt mit Russland gerne warm halten wollen. Ebenso verdienen natürlich Firmen mit Antivirensoftware und sonstiger „Sicherheits“-technik. Und natürlich ist kann die Verschlüsselung von Festplatten auch dazu dienen Spuren zu verwischen.
    Dieser Angriff dürfte auch Personal in der ukrainischen Finanzbehörden binden. Das könnte dazu führen, dass manch großer Steuerhinterziehungsfall entweder nicht aufgedeckt wird oder in die Verjährung rutscht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *