Petya infiziert Computer über zwei Einfallstore:

Zum einen hat sich Petya mit Hilfe der EternalBlue-Schwachstelle verbreitet, die auch bei der Ransomware WannaCry zum Einsatz kam. Dieser Infektionsweg ist hauptsächlich eine Gefahr für Nutzer, die das Windows-Update für diese Schwachstelle nicht installiert haben. Der EternalBlue-Exploit funktioniert über Internet und LAN-Verbindungen.

Zum anderen greift der Trojaner lokal vorhandene Windows Zugangsdaten ab und missbraucht diese mit dem PSEXEC-Tool für seine Zwecke. PSEXEC ist ein reguläres Tool, dass üblicherweise von System-Administratoren genutzt wird, um andere Programme im Netzwerk zu nutzen, zu denen sie einen Zugang haben. Dieser Infektionsweg funktioniert auch wenn das System vollständig aktualisiert ist, da PSEXEC kein Exploit, sondern ein reguläres Verwaltungs-Tool von Microsoft (SysInternals) ist.

Um sich optimal zu schützen, empfehlen wir eine Kombination aus Softwareupdates und eine aktuelle Antivirenlösung.

Wer infiziert wurde, kann den Rechner herunterfahren, über einen USB-Stick ein Live-Betriebssystem starten und alle Dateien sichern. Petya enthalte das Werkzeug LSADump, mit dem in Windows-Netzwerken Passwörter von Clients und Domänen-Controllern ausgelesen werden könnten. Also bitte an Passwort Änderungen denken.

Mit Kaspersky Endpoint Security for Business, haben Sie nicht nur eine Antivirenlösung mit Exploit Schutz, sondern auch eine die den Start von Anwendungen (PSEXEC-Tool ) stoppen kann, sondern auch eine Patch-Management, das Ihre Admins unterstützen kann.