Loading...

Knowledge Center


Schutz vor der modifizierten Variante der Ransomware Petya (Juni 2017)
Technical Articles ID:   KB89540
Last Modified:  05.09.2017
Rated:


Environment

McAfee-Produkte, die DAT-Dateien verwenden

HINWEIS: Dieser Artikel gilt nur für McAfee-Produkte für Unternehmenskunden. Wenn Sie Informationen oder Support bezüglich McAfee-Produkten für Privatkunden oder kleine Unternehmen benötigen, besuchen Sie https://service.mcafee.com.
Artikel zu Petya für Consumer: TS102703.

Summary

McAfee ist eine modifizierte Variante der Ransomware Petya (andere Namen: PetrWrap, PetWrap, Petya.A, Petja) bekannt, die in Unternehmensumgebungen erkannt wurde.

  • McAfee hat eine EXTRA.DAT-Datei veröffentlicht (an diesen Artikel angehängt), die Schutz vor dieser Bedrohung bietet.
     
  • McAfee hat auch eine Notfall-DAT-Datei veröffentlicht, die Schutz vor Petya bietet. Dieser Schutz wird auch in den nachfolgenden DAT-Dateien enthalten sein.
    Der Schutz ist ab diesen DAT-Dateien enthalten:
     
    • VSE (8574) oder höher
    • ENS (3025) oder höher  
       
  • Die an diesen Artikel angehängte EXTRA.DAT-Datei ist in den oben erwähnten DAT-Dateien enthalten. Wenn Sie Ihr System noch nicht auf die oben genannten DAT-Dateien aktualisiert haben, sollten Sie weiterhin die an diesen Artikel angehängte EXTRA.DAT-Datei verwenden.
     
  • Auch McAfee Global Threat Intelligence (GTI)-Datei-Reputation erkennt diese Bedrohung (bei der Einstellung Niedrig).
 

Die Beobachtungen und Analysen von McAfee finden Sie hier: https://securingtomorrow.mcafee.com/mcafee-labs/new-variant-petya-ransomware-spreading-like-wildfire.

Dieser Artikel wird aktualisiert, wenn weitere Informationen zur Verfügung stehen. Bitte sehen Sie regelmäßig nach, ob dieser Artikel aktualisiert wurde.

Letzte Aktualisierungen dieses Artikels

Sie können sich per E-Mail benachrichtigen lassen, wenn dieser Artikel aktualisiert wird, indem Sie rechts auf der Seite auf Abonnieren klicken. Zum Abonnieren müssen Sie angemeldet sein.

Datum Aktualisierung
20. Juli 2017 Synonyme hinzugefügt, nach denen die Kunden auch gesucht haben.
19. Juli 2017 Informationen bezüglich PSExec korrigiert.
3. Juli 2017 Empfohlene Zugriffsschutzregeln für VirusScan Enterprise und Endpoint Security für eine effektivere Bekämpfung dieser speziellen Petya-Variante aktualisiert.
28. Juni 2017 17:30 GMT Informationen über ENS-DAT-Datei (3025) hinzugefügt.
28. Juni 2017 12:45 GMT Informationen über Notfall-DAT-Datei 8574 hinzugefügt.
28. Juni 2017 12:10 GMT Link zu Beobachtungen und Analyse von McAfee hinzugefügt.
28. Juni 2017 01:55 GMT Informationen über benutzerdefinierte Signaturen für Network Security (NSP) mit aktualisiertem Schutz hinzugefügt.
28. Juni 2017 00:40 GMT Vorhandene Signaturen um 0x43c0bd00- NETBIOS-SS: MS17-010 SMB Remote Code Execution (Eternal Tools und Ransomware "WannaCry") ergänzt.
27. Juni 2017 22:40 GMT
  • Zugriffsschutzregeln für VSE und ENS hinzugefügt.
  • Weitere Ressourcen im Abschnitt Themenbezogene Informationen hinzugefügt.
27. Juni 2017 21:30 GMT
  • Einige Benutzer haben gemeldet, dass die aktualisierte EXTRA.DAT-Datei nicht verfügbar war, daher wurde sie umbenannt und erneut angehängt. Der korrekte Dateiname lautet EXTRADAT.zip.
  • McAfee NSP-Schutz für Petya hinzugefügt.
27. Juni 2017 20:23 GMT Mit neuer EXTRA.DAT-Datei aktualisiert.


Diese Bedrohung zeigt die folgenden Symptome:

  • Die Verbreitung erfolgt offenbar über das Remotedesktopprotokoll (RDP) und/oder das Server Message Block-Protokoll (SMB).
     
  • Auf einem infizierten PC wird möglicherweise die folgende Meldung von der Ransomware angezeigt:

    Repairing file system on C:

    The type of the file system is NTFS.
    One of your disks contains errors and needs to be repaired. This process may take several hours to complete. It is strongly recommended to let it complete.

    WARNING: DO NOT TURN OFF YOUR PC! IF YOU ABORT THIS PROCESS, YOU COULD DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN!

    CHKDSK is repairing sector xxxxx of xxxxxxxx (x%)
    [Das Dateisystem auf C: wird repariert. Das Dateisystem ist vom Typ NTFS. Eine Ihrer Festplatten enthält Fehler und muss repariert werden. Dieser Prozess kann mehrere Stunden dauern. Es wird dringend empfohlen, zu warten, bis der Prozess abgeschlossen ist. ACHTUNG: SCHALTEN SIE IHREN PC NICHT AUS! WENN SIE DIESEN PROZESS ABBRECHEN, VERNICHTEN SIE MÖGLICHERWEISE ALLE DATEN! BITTE ACHTEN SIE DARAUF, DASS DIE STROMVERSORGUNG NICHT GETRENNT WIRD! CHKDSK repariert Sektor xxxxx von xxxxxxxx (x %)]

     
  • Nach der Verschlüsselung der betroffenen Systeme wird der Benutzer aufgefordert, den Computer neu zu starten. Nach dem Neustart wird eine Lösegeldforderung auf dem Bildschirm angezeigt, die in etwa wie folgt aussieht:



     
  • Nach aktuellem Kenntnisstand sind die folgenden Erweiterungen betroffen:  
     
    .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip

Solution

​Als vorbeugende Schutzmaßnahme sollten Sie alle Systeme mit MS17-010 aktualisieren, sofern dieser Patch nicht bereits installiert ist.  
 

McAfee NSP-Schutz für die Ransomware Petya
Vorhandene Signaturen:
  • 0x43c0bd00- NETBIOS-SS: MS17-010 Remote-Code-Ausführung in SMB (Eternal Tools und Ransomware "WannaCry")
  • 0x43c0b800- NETBIOS-SS: Schwachstelle bezüglich der Verwechslung identischer MID- und FID-Typen in Windows SMBv1 (CVE-2017-0143)
  • 0x43c0b400- NETBIOS-SS: Schwachstelle bezüglich Remote-Code-Ausführung in Windows SMB (CVE-2017-0144)
  • 0x43c0b500- NETBIOS-SS: Schwachstelle bezüglich Remote-Code-Ausführung in Windows SMB (CVE-2017-0145)
  • 0x43c0b300- NETBIOS-SS: Schwachstelle bezüglich des Schreibens außerhalb der Grenzen in Microsoft Windows SMB (CVE-2017-0146)
  • 0x43c0b900- NETBIOS-SS: Schwachstelle bezüglich der Offenlegung von Informationen in Windows SMBv1 (CVE-2017-0147)
  • 0x451e3300- HTTP: Schwachstelle bezüglich der Ausführung von beliebigem Code in Microsoft Office OLE (CVE-2017-0199)
Das NSP-Forschungsteam hat eine benutzerdefinierte Signatur mit aktualisiertem Schutz erstellt. Diese steht in KB55447 zum Download bereit.

Der Artikel, auf den oben verwiesen wird, steht nur registrierten ServicePortal-Benutzern zur Verfügung.

So zeigen Sie registrierte Artikel an:
  1. Melden Sie sich unter http://support.mcafee.com beim ServicePortal an.
  2. Geben Sie die Artikel-ID auf der Startseite in das Feld Knowledge Center durchsuchen ein.
  3. Klicken Sie auf Suchen, oder drücken Sie die EINGABETASTE. 


Zugriffsschutzregeln für VirusScan Enterprise (VSE) und Endpoint Security (ENS)
Die folgenden Zugriffsschutzregeln für VSE und ENS helfen bei der Bekämpfung der Malware.  McAfee hat die empfohlenen Zugriffsschutzregeln aktualisiert, um diese spezielle Petya-Variante noch effektiver bekämpfen zu können.

HINWEIS: Die Implementierung der EXTRA.DAT-Datei ist trotz dieser Zugriffsschutzregeln erforderlich. Sie unterstützen die Bekämpfung der Malware, können jedoch nicht verhindern, dass die Malware-Nutzlast auf einem System erstellt oder ausgeführt wird.  Mit diesen beiden Zugriffsschutzregeln wird verhindert, dass rundll32.exe Instanzen von cmd.exe startet und dass das Dienstprogramm PSExec von Microsoft Technet erstellt wird.  Sie können jedoch nicht verhindern, dass der ursprüngliche Dateiname für PSExec heruntergeladen und/oder gespeichert wird, sodass Administratoren dieses Dienstprogramm weiterhin verwenden können.
  
VSE-Zugriffsschutzregeln
Einzubeziehender Prozess: rundll32.exe
Auszuschließender Prozess:
Name der zu blockierenden Datei oder des zu blockierenden Ordners: cmd.exe
Aktionen: Ausführung blockieren

HINWEIS:  Hiermit wird verhindert, dass der Prozess rundll32.exe Instanzen von cmd.exe startet, was ein wichtiges Verhaltensmerkmal der Malware ist.  Dies schließt auch legitime Software ein, die dieses Verhalten zeigt, beispielsweise die benutzerdefinierte Skripterstellung.
 
Einzubeziehender Prozess: *
Auszuschließender Prozess:
Name der zu blockierenden Datei oder des zu blockierenden Ordners: **\PSEXESVC.EXE
Aktionen: Erstellung blockieren

HINWEIS:  Hiermit wird die Erstellung des Remote-Dienstes von PSExec durch jegliche Prozesse verhindert. Dies kann zur Verhinderung der Replikation von PSExec (eine an der Replikation der Malware-Nutzlast beteiligte Komponente) beitragen. Es hindert Administratoren nicht daran, neue Kopien von PSExec auf Systemen zu speichern, in denen diese Regel angewendet wird, verhindert jedoch die Erstellung und damit die Nutzung von PSEXESVC.EXE im Zielsystem, sei es für bösartige oder reguläre administrative Zwecke.
 
 
ENS-Zugriffsschutzregeln
Erstellen Sie eine neue Regel mit dem Einschlussstatus "Einschließen", und geben Sie für den Dateinamen oder Pfad "rundll32.exe" an.
Erstellen Sie eine untergeordnete Regel mit dem Typ "Datei", und geben Sie als Ziel "cmd.exe" an.
Wählen Sie die Aktion "Ausführung verhindern" aus.
 
Erstellen Sie eine neue Regel mit dem Einschlussstatus "Einschließen", und geben Sie für den Dateinamen oder Pfad "*" an.
Erstellen Sie eine untergeordnete Regel mit dem Typ "Datei", und geben Sie als Ziel "**\PSEXESVC.EXE" an.
Wählen Sie die Aktion "Erstellung verhindern" aus.

 

Attachment

EXTRADAT.zip
3K • < 1 minute @ broadband


Rate this document

Did this article resolve your issue?

Please provide any comments below

Beta Translate with

Select a desired language below to translate this page.