So schützen Sie sich vor der Ransomware Petya

Seit Dienstag sorgt eine neue Schadsoftware für Wirbel. Ein Erpressungstrojaner sperrt weltweit Computer und hat Firmen weltweit außer Gefecht gesetzt. Wir klären die wichtigsten Fragen zur aktuellen Angriffswelle.

Wie heißt der Schädling?

Petya, NotPetya, ExPetr, Pnyetya – die Schadsoftware, die sich aktuell in Umlauf befindet, hat etliche Namen erhalten, was bei Nutzern zusätzlich für Verwirrung sorgt. Marc Ruef, IT-Experte bei der Zürcher Firma Scip AG, bemängelt dies: "Jeder Anti-Viren-Hersteller pflegt eine Malware leicht anders zu benennen." Seit Jahrzehnten wird eine einheitliche Namensgebung vorgeschlagen, um Widersprüche und Duplikate zu verhindern. Nachfolgend wird der Schädling als Petya bezeichnet.

Wie kann ich mich vor der Cyberattacke schützen?

Petya nutzt für die Verbreitung Schwachstellen in Windows. Microsoft hat für diese schon vor mehreren Wochen Patches herausgegeben. Durch deren Installation kann das Risiko einer Infektion vermindert werden. Ruef: "Die Anti-Viren-Hersteller erkennen die Schadsoftware mittlerweile."

Wie verteilt sich die Schadsoftware?

Ersten Berichten zufolge läuft die Verteilung unter anderem über die sogenannten Eternalblue-Exploits ab. Das sind Schwachstellen, die vom US-Geheimdienst NSA ausgenutzt, dann gestohlen und schließlich veröffentlicht wurden. Zudem wird berichtet, dass auch eine Schwachstelle in Microsoft Office ausgenutzt werde. Auslöser der Welle war laut den Sicherheitsforschern von Malwarebytes jedoch das ukrainische Buchhaltungsprogramm Me-Doc, das Petya in einem Update auslieferte.

Was genau macht die Schadsoftware?

Ransomware verschlüsselt typischerweise einzelne Dateien auf der Festplatte. Petya geht laut Ruef einen anderen Weg: Der PC wird zu einem Neustart gezwungen, und dann wird die Master-File-Table (MFT) verschlüsselt. Das ist quasi das Inhaltsverzeichnis sämtlicher Dateien. Würgt man den PC während des Vorgangs ab, kann eine Verschlüsselung laut Ruef verhindert werden. Er hält fest: "Die Entwickler waren definitiv keine Amateure."

Sind meine Daten futsch, wenn ich infiziert wurde?

Für manche Ransomware fertigt irgendjemand früher oder später ein Tool an, um auch ohne Bezahlung wieder an die Daten zu kommen. Dies dürfte hier auch der Fall sein, so Ruef. Wer kurzfristig auf die Daten angewiesen ist, hat das Nachsehen. Mittlerweile wurden knapp 9.000 Dollar an Lösegeld bezahlt. Die Experten raten in jedem Fall von einer Bezahlung eines Lösegelds ab, denn auch beim aktuellen Fall ist die Chance auf Entsperrung der Dateien durch die Kriminellen gering, da der mit dem Erpressungsversuch verknüpfte E-Mail-Account vom Anbieter bereits gesperrt worden ist.

Vor rund sechs Wochen nutzte die Ransomware Wanna-Cry die gleichen Schwachstellen aus. Wieso haben viele Firmen bis heute ihre Systeme nicht aktualisiert?

Hierfür gebe es verschiedene Gründe, erklärt Ruef. Manche Systeme lassen sich zum Beispiel nicht ohne weiteres updaten. Zum Beispiel Medizingeräte, die dadurch ihre Marktzulassung verlieren würden. Oder alte Industriesysteme, die schlichtweg nicht mit neuen Software-Versionen umgehen können. Unabhängig davon unterschätzen viele Unternehmen noch immer das Risiko. Cyber-Security ist die brutale Wahrheit einer digitalisierten Gesellschaft. Das Problem zu ignorieren, funktioniert definitiv nicht. (tob)