News 28.06.2017, 09:51 Uhr

Update: Impfung gegen neue Quasi-Petya-Ransomware

Gegen die aktuelle Variante der derzeit grassierenden Ransomware gibts eine Art Impfung. Wir zeigen, wie das geht.
Die Ransomware, die sich derzeit unter anderem über die NSA-Lücke «EternalBlue» ausbreitet, lässt sich mit einer Art Impfung stoppen. Das kann sinnvoll sein, auch wenn der PC mittels Windows-Update voll durchgepatcht ist.
Wie ein Sicherheitsexperte entdeckt hat, erstellt die Ransomware im Windows-Ordner Dateien mit ganz bestimmten Namen. Wenn diese Dateien dort jedoch schon vorhanden und mit Schreibschutz versehen sind, dann fällt die Malware auf die Schnauze, weil es die Files nicht erzeugen kann. 
Auf der erwähnten Webseite gibts ein Batch-File herunterzuladen, das genau diesen Umstand nutzt und die Impf-Dateien erstellt. Für Interessierte ist unten der Quellcode der Batchdatei dokumentiert. Sie können ihn auch kopieren und in eine selbsterzeugte Datei mit Endung .bat stecken. Wir empfehlen, die Batchdatei von der erwähnten BleepingComputer-Webseite herunterzuladen; dort ist sie korrekt formatiert, was wir beim Kopieren/Einfügen von Quelltext ab einer Webseite nicht garantieren können. Voilà, der Quellcode: 
@echo off
REM Administrative check from here: https://stackoverflow.com/questions/4051883/batch-script-how-to-check-for-admin-rights
REM Vaccination discovered by twitter.com/0xAmit/status/879778335286452224
REM Batch file created by Lawrence Abrams of BleepingComputer.com. @bleepincomputer @lawrenceabrams
echo Administrative permissions required. Detecting permissions...
echo.
net session >nul 2>&1
if %errorLevel% == 0 (
if exist C:\Windows\perfc (
echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
echo.
) else (
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat
attrib +R C:\Windows\perfc
attrib +R C:\Windows\perfc.dll
attrib +R C:\Windows\perfc.dat
echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
echo.
)
) else (
echo Failure: You must run this batch file as Administrator.
)
pause
Wichtig: Die Impfung nützt nur so lange, bis der Schädling sich neue Dateinamen ausdenkt! Ausserdem kann es sich im Moment lohnen, eine gute Antivirensoftware an Bord zu haben.
Update 14:20: Sicherheitsexperte Guy Leech hat einen zusätzlichen Weg beschrieben, die Systeme zu impfen. Dieser kann zwei wichtige Einfallstore von Schädlingen dieser Art schliessen. Man erstellt in der Registry in diesem Zweig:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Diese Unterzweige:
psexec.exe
wmic.exe
Achtung – kleines Update 29.6.17: Anfangs enthielt der oben erwähnte Zweigname «psexec.exe» einen Tippfehler (es fehlte das c). Im unten eingefügten Code für die .reg-Datei war der Eintrag jedoch richtig.
Im rechten Fensterteil erhalten beide je einen Eintrag namens «Debugger» mit dem Wert «svchost.exe». Das lässt sich übrigens alles mit einem Registry-Import-File erledigen. Erstellen Sie eine Textdatei z.B. mit Namen impf2.reg. Fügen Sie dort den folgenden Code ein:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\psexec.exe]
"Debugger"="svchost.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmic.exe]
"Debugger"="svchost.exe"
Speichern sie die Datei und importieren Sie sie per Doppelklick.
Wichtig: Sie sollten sich irgendwo Notizen machen, dass Sie diese zwei Einträge hinzugefügt haben. Es könnte eines Tages nötig sein, diese wieder zu entfernen.



Kommentare
Avatar
karnickel
04.07.2017
Ganz gut gefällt mir die zweite IF-Abfrage in diesem Skript, bei der geantwortet wird, dass das System bereits geimpft sei. Ich hätte noch dazu geschrieben: "...oder bereits befallen." :cool: