Den inzwischen als NotPetya bekannten Schädling handelt man sich nicht durch Dateianhänge in Mails oder Web-Seiten mit Exploits ein. Die Verbreitung erfolgte anfags durch den Update-Mechanismus einer legitimen Software. Dort breitete er sich dann mit Methoden weiter aus, die eher von gezielten Spionage-Angriffen bekannt waren. Unter anderem missbrauchte NotPetya auch legitime Netzwerk-Tools wie die Windows Management Instrumentation Commandline (WMIC) und psexec.

Die Sicherheitsforscher stellten darüber hinaus bei einer genaueren Analyse fest, dass es nicht möglich ist, den angerichteten Schäden von NotPetya zu reparieren. Matt Suiche fand heraus, dass Teile des MBR von NotPetya irreversibel überschrieben werden. Es besteht also keine Möglichkeit, den Originalzustand wiederherzustellen. In einer Analyse von Kaspersky wurde festgestellt, dass NotPetya nicht einmal eine echte ID für den infizierten Rechner erstellt. Das Opfer muss bei der Bezahlung eine ID angeben. Das bedeutet, dass, selbst wenn die Entwickler wollten, können diese bei der Wiederherstellung der überschriebenen beziehungsweise verschlüsselten Daten nicht helfen.

Alle Experten sind sich einig, dass das Ziel des Schädlings ist, Daten unwiederbringlich zu vernichten. Dabei sprechen die Experten von einem sogenannten Wiper.

(ms, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE