Menü

Alles, was wir bisher über den Petya/NotPetya-Ausbruch wissen

Was kann ich unternehmen, wenn ich infiziert wurde?

Inhaltsverzeichnis

Wer Hinweise darauf hat, dass ein System von NotPetya infiziert wurde, sollte dieses umgehend vom Strom trennen. Unter Umständen verhindern Sie so, dass Daten verschlüsselt werden. Schon verschlüsselte Festplatten sollte man aufbewahren. Mit etwas Glück entdecken Sicherheitsforscher nach einiger Zeit Fehler in der Verschlüsselung des Trojaners und es wird ein Werzeug veröffentlicht, mit dem man seine Daten retten kann. Lesen Sie dazu auch allgemeine Tipps gegen Erpressungs-Trojaner.

Um eine Infektion im Vorhinein zu verhindern, kann man bestimme Dateien im Ordner C:\Windows anlegen. Der Sicherheitsforscher Lawrence Adams hat dafür eine Batch-Datei mit folgendem Inhalt entwickelt:

@echo off

echo Administrative permissions required. Detecting permissions...
echo.

net session >nul 2>&1

if %errorLevel% == 0 (
if exist C:\Windows\perfc (
echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
echo.
) else (
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat

attrib +R C:\Windows\perfc
attrib +R C:\Windows\perfc.dll
attrib +R C:\Windows\perfc.dat

echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
echo.
)
) else (
echo Failure: You must run this batch file as Administrator.
)

pause

Dabei ist zu beachten, dass irgendwann eventuell neuere Versionen des Trojaners in Umlauf geraten, die diesen Kill Switch ignorieren. Diese Methode sollte deswegen nicht als absolut verlässlicher Schutz angesehen werden. Vor allem sollte man immer darauf achten, dass Windows alle aktuellen Sicherheits-Updates eingespielt hat und auch der Virenscanner immer aktuell ist. Sicherheitslücken wie die ETERNALBLUE-Hintertür funktionieren schließlich nur auf Systemen, die nicht auf dem aktuellen Stand sind.

Die beste Verteidigung gegen Bedrohungen wie Petya, NotPetya und ihre fiesen Verwandten sind allerdings aktuelle Backups. Der kostenlos zugängliche c't-Artikel Backup statt Lösegeld erklärt, wie man sich auf den Ernstfall vorbereitet. Ein weiterer Artikel erklärt das kostenlose Backup-Tool Duplicati. (fab)