Firmenlink

 

Update: Impfung gegen neue Quasi-Petya-Ransomware

Gegen die aktuelle Variante der derzeit grassierenden Ransomware gibts eine Art Impfung. Wir zeigen, wie das geht.

von Gaby Salvisberg 28.06.2017

Die Ransomware, die sich derzeit unter anderem über die NSA-Lücke «EternalBlue» ausbreitet, lässt sich mit einer Art Impfung stoppen. Das kann sinnvoll sein, auch wenn der PC mittels Windows-Update voll durchgepatcht ist.

Wie ein Sicherheitsexperte entdeckt hat, erstellt die Ransomware im Windows-Ordner Dateien mit ganz bestimmten Namen. Wenn diese Dateien dort jedoch schon vorhanden und mit Schreibschutz versehen sind, dann fällt die Malware auf die Schnauze, weil es die Files nicht erzeugen kann. 

Auf der erwähnten Webseite gibts ein Batch-File herunterzuladen, das genau diesen Umstand nutzt und die Impf-Dateien erstellt. Für Interessierte ist unten der Quellcode der Batchdatei dokumentiert. Sie können ihn auch kopieren und in eine selbsterzeugte Datei mit Endung .bat stecken. Wir empfehlen, die Batchdatei von der erwähnten BleepingComputer-Webseite herunterzuladen; dort ist sie korrekt formatiert, was wir beim Kopieren/Einfügen von Quelltext ab einer Webseite nicht garantieren können. Voilà, der Quellcode: 

@echo off
REM Administrative check from here: https://stackoverflow.com/questions/4051883/batch-script-how-to-check-for-admin-rights
REM Vaccination discovered by twitter.com/0xAmit/status/879778335286452224
REM Batch file created by Lawrence Abrams of BleepingComputer.com. @bleepincomputer @lawrenceabrams

echo Administrative permissions required. Detecting permissions...
echo.

net session >nul 2>&1

if %errorLevel% == 0 (
if exist C:\Windows\perfc (
echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
echo.
) else (
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat

attrib +R C:\Windows\perfc
attrib +R C:\Windows\perfc.dll
attrib +R C:\Windows\perfc.dat

echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
echo.
)
) else (
echo Failure: You must run this batch file as Administrator.
)

pause

Wichtig: Die Impfung nützt nur so lange, bis der Schädling sich neue Dateinamen ausdenkt! Ausserdem kann es sich im Moment lohnen, eine gute Antivirensoftware an Bord zu haben.

Update 14:20: Sicherheitsexperte Guy Leech hat einen zusätzlichen Weg beschrieben, die Systeme zu impfen. Dieser kann zwei wichtige Einfallstore von Schädlingen dieser Art schliessen. Man erstellt in der Registry in diesem Zweig:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Diese Unterzweige:
psexec.exe
wmic.exe

Achtung – kleines Update 29.6.17: Anfangs enthielt der oben erwähnte Zweigname «psexec.exe» einen Tippfehler (es fehlte das c). Im unten eingefügten Code für die .reg-Datei war der Eintrag jedoch richtig.

Im rechten Fensterteil erhalten beide je einen Eintrag namens «Debugger» mit dem Wert «svchost.exe». Das lässt sich übrigens alles mit einem Registry-Import-File erledigen. Erstellen Sie eine Textdatei z.B. mit Namen impf2.reg. Fügen Sie dort den folgenden Code ein:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\psexec.exe]
"Debugger"="svchost.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmic.exe]
"Debugger"="svchost.exe"

Speichern sie die Datei und importieren Sie sie per Doppelklick.

Wichtig: Sie sollten sich irgendwo Notizen machen, dass Sie diese zwei Einträge hinzugefügt haben. Es könnte eines Tages nötig sein, diese wieder zu entfernen.


    Kommentare

    • GOROW 28.06.2017, 16.46 Uhr

      Ich möchte mich an dieser Stelle bei der NSA für die freundliche Unterstützung der Hacker bedanken. Mein Dank geht auch an MS, denn der Hersteller läßt die Anwender aufgrund nicht vorhandener Dokumentationen dumm sterben. Auch die Probleme mit den Updates für Windows 10 sind hinlänglich bekannt - nicht einmal eine email-Adresse für Update-Probleme wird herausgegeben. Angeblich gibt es seit März 2017 einen MS-Patch gegen die Schwachstelle, die hier verwendet wird. Wenn allerdings manche meinen[...]

    • karnickel 04.07.2017, 10.54 Uhr

      Ganz gut gefällt mir die zweite IF-Abfrage in diesem Skript, bei der geantwortet wird, dass das System bereits geimpft sei. Ich hätte noch dazu geschrieben: "...oder bereits befallen." :cool:

    weitere Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.