Petwrap/NonPetya - Schadsoftware vernichtet Daten

Petwrap/NonPetya ist wohl eher ein Wiper, der Daten vernichten soll und keine echte Ransomware.

Die neue Schadsoftware Petwrap/NonPetya macht auf den ersten Blick und auch noch nach ersten Analysen den Eindruck einer Ransomware. Wie üblich wird ein Lösegeld gefordert, um verschlüsselte Daten wieder verwendbar zu machen. Doch inzwischen ist für die meisten Experten klar, dass die Schadsoftware nur zum Schein ein Lösegeld fordert, das Versprechen des Entschlüsselns aber gar nicht einhalten kann. Stattdessen ist der Code so ausgelegt, dass er Daten ohne Wiederherstellmöglichkeit vernichtet.

ID der befallenen PCs ist nutzlos

Das Überschreiben des Master Boot Records auf Laufwerken ist laut Experten zum Teil nicht mehr rückgängig zu machen. Die ID, die die Schadsoftware erstellt, müsste eigentlich Daten über den befallenen PC enthalten, wird jedoch rein zufällig berechnet. Das bedeutet, dass die Angreifer trotz der ID grundsätzlich nicht in der Lage wären, einen befallenen PC von einem anderen zu unterscheiden und einen dazu passenden Schlüssel zu verschicken.

Weitere Hinweise darauf, dass es sich nicht um einen üblichen Erpressungsversuch handelt, ist die Nutzung einer einzigen E-Mail-Adresse zur Kontaktaufnahme für alle Opfer. Diese Umsetzung des Wegs zur Geldübergabe bezeichnet Heise sogar als »primitiv«, da Erpresser in anderen Fällen sehr professionell vorgehen würden.

Wiper statt Ransomware

Damit ist die Schadsoftware Petwrap/NonPetya wohl eher ein sogenannter Wiper mit dem Ziel, vorhandene Daten vernichten. Die Verkleidung als Ransomware sei nur Ablenkung, so der Bericht. Für die betroffenen Unternehmen dürfte das keine gute Nachricht sein, da nun ohne Backup wohl kaum eine Möglichkeit besteht, die verlorenen Daten wiederherstellen zu können.

Quelle: Heise