So Petya stoppen 28.06.2017, 15:55 Uhr

Impfung gegen neue Quasi-Petya-Ransomware

Gegen die aktuelle Variante der derzeit grassierenden Ransomware gibts eine Art Impfung. Wir zeigen, wie das geht.

Die Ransomware, die sich derzeit unter anderem über die NSA-Lücke «EternalBlue» ausbreitet, lässt sich mit einer Art Impfung stoppen. Das kann sinnvoll sein, auch wenn der PC mittels Windows-Update voll durchgepatcht ist.

Wie ein Sicherheitsexperte entdeckt hat, erstellt die Ransomware im Windows-Ordner Dateien mit ganz bestimmten Namen. Wenn diese Dateien dort jedoch schon vorhanden und mit Schreibschutz versehen sind, dann fällt die Malware auf die Schnauze, weil es die Files nicht erzeugen kann.

Auf der erwähnten Webseite gibts ein Batch-File herunterzuladen, das genau diesen Umstand nutzt und die Impf-Dateien erstellt. Für Interessierte ist unten der Quellcode der Batchdatei dokumentiert. Sie können ihn auch kopieren und in eine selbsterzeugte Datei mit Endung .bat stecken. Wir empfehlen, die Batchdatei von der erwähnten BleepingComputer-Webseite herunterzuladen; dort ist sie korrekt formatiert, was wir beim Kopieren/Einfügen von Quelltext ab einer Webseite nicht garantieren können. Voilà, der Quellcode:

@echo off
 REM Administrative check from here: https://stackoverflow.com/questions/4051883/batch-script-how-to-check-for-admin-rights
 REM Vaccination discovered by twitter.com/0xAmit/status/879778335286452224
 REM Batch file created by Lawrence Abrams of BleepingComputer.com. @bleepincomputer @lawrenceabrams
 
 echo Administrative permissions required. Detecting permissions...
 echo.
        
 net session >nul 2>&1
 
 if %errorLevel% == 0 (
     if exist C:\Windows\perfc (
         echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
         echo.
     ) else (
         echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
 echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
 echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat
 
         attrib +R C:\Windows\perfc
 attrib +R C:\Windows\perfc.dll
 attrib +R C:\Windows\perfc.dat
 
         echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
         echo.
     )
 ) else (
     echo Failure: You must run this batch file as Administrator.
 )
 
 pause

Wichtig: Die Impfung nützt nur so lange, bis der Schädling sich neue Dateinamen ausdenkt! Ausserdem kann es sich im Moment lohnen, eine gute Antivirensoftware an Bord zu haben.



Das könnte Sie auch interessieren