Zusammenfassung
ESET-Kundenhinweis 2017-0012
27. Juni 2017
Schweregrad: Kritisch
Zusammenfassung
Dieser Hinweis soll Benutzer vor der neuen Bedrohung Diskcoder.C warnen. Diese Ransomware scheint eine Version von Petya zu sein. Wenn sie erfolgreich den Haupt-Boot-Record (MBR) eines Computers infiziert, verschlüsselt sie das gesamte Laufwerk, auf dem sich dieser MBR befindet. Wenn sich die Infektion nicht auf einen MBR auswirkt, verschlüsselt sie dennoch alle Dateien, ähnlich wie die Mischa-Malware.
Diese Infektion verbreitet sich über eine Kombination aus dem SMB-Exploit (EternalBlue), der von WannaCryptor verwendet wurde, um Zugang zum Netzwerk zu erhalten, und verbreitet sich dann über das Netzwerk mit PsExec. ESET-Produkte mit Netzwerkerkennung blockieren EternalBlue, und ESET bietet kostenlose Anweisungen, um Ihr System auf EternalBlue zu überprüfen und Windows zu aktualisieren, um diesen Exploit zu entschärfen.
Diese gefährliche Kombination ist ein möglicher Grund dafür, dass sich dieser Ausbruch weltweit so schnell verbreitet hat, selbst nachdem die vorherigen Ausbrüche für Schlagzeilen in den Medien sorgten und die Benutzer dazu ermutigten, ihre Systeme zu patchen. Eine Infektion wie diese kann ein ganzes Netzwerk gefährden, wenn ein einzelner Rechner nicht gepatcht wird, da er administrative Rechte erlangt, die es ihm ermöglichen, sich auf andere Rechner zu verbreiten.
ESET-Forscher haben den Ursprung dieser globalen Epidemie gefunden. Die Angreifer haben erfolgreich die Buchhaltungssoftware M.E.Doc kompromittiert, die in der Ukraine in verschiedenen Branchen, darunter auch in Finanzinstituten, verbreitet ist.
Ein trojanisiertes Update von M.E.Doc ermöglichte es den Angreifern, die massive Ransomware-Kampagne zu starten, die sich über die Ukraine und dann auf Ziele in anderen Ländern ausbreitete.
