post

Petya: Neuer Erpressungs-Trojaner verschlüsselt gesamten Rechner

Eine neue Ransomware hat es aktuell auf deutschsprachige Windows-Nutzer abgesehen. Petya wird über Dropbox verteilt und manipuliert die Festplatte, wodurch das Betriebssystem nicht mehr ausgeführt werden kann.

Der Erpressungs-Trojaner Petya verbreitet sich seit letzter Woche in deutschsprachigen Ländern und geht dabei einen ungewöhnlichen Weg: Statt nur bestimmte Dateitypen zu verschlüsseln, manipuliert er den Master-Boot-Record (MBR) der Festplatte, wodurch der gesamte Rechner blockiert wird. Die installierten Betriebssysteme werden nicht mehr ausgeführt.

Petya blockiert Betriebssystem

Nach der Manipulation erzeugt der Schädling einen Bluescreen, um den Rechner zu einem Neustart zu zwingen. Statt mit dem Windows-Startbildschirm, erscheint ein Totenkopfschädel in ASCII-Art. Die Erpresser behaupten, sämtliche Festplatten verschlüsselt zu haben und fordern das Opfer auf, Lösegeld auf einer Seite im Tor-Netz zu bezahlen. Zusätzlich wird das Opfer unter zeitlichen Druck gesetzt, indem ein Countdownzähler die Verdopplung des Preises ankündigt.

Petya hat es derzeit auf Windows-Nutzer abgesehen. Um die MBR-Manipulation durchführen zu können, fordert die Ransomware erhöhte Rechte an, was in der Windows-Standardkonfiguration zu einer Abfrage der Benutzerkontensteuerung (User Account Control, UAC) führt. Als Täuschungsversuch wird dabei als Icon der Trojaner-Datei das UAC-Logo (Windows Schutzschild) benutzt.

Details zur Verschlüsselung

Phase Eins: Simple Verschlüsselung des MBR
Zunächst verschlüsselt Petya nur den Master Boot Record (MBR) über ein einfaches XOR mit einem festen Wert. An dieser Stelle lässt sich der Schaden noch begrenzen. Unter anderem kann man die Festplatten extern einbinden und Daten sichern. Betroffene Nutzer berichten auch, dass sich an diesem Punkt der MBR mit Wiederherstellungs-Tools reparieren lässt. Danach bootet das System wieder normal. Allerdings muss man dazu wissen, dass man sich gerade infiziert hat und einen Neustart verhindern. Erscheinen solche Warnungen, sollte das System nur noch mit Rettungs-Medium gestartet werden.

Phase Zwei: Verschlüsselung der Daten
Im nächsten Schritt erzeugt der Trojaner einen Bluescreen, um das Opfer zum Neustart seines Systems zu zwingen. Nach dem Neustart läuft ein vorgetäuschtes “chkdsk”, welches die Dateisysteme verschlüsselt. Danach kann man nicht mehr direkt auf die Partitionen der Festplatte zugreifen. Allerdings scheint auch hier nicht gesamte Festplatte verschlüsselt zu sein. Gemäss heise lassen sich mit Hilfe von speziellen Forensik-Tools eventuell noch Daten retten.

Verbreitung über E-Mail und Dropbox

Nicht nur die Vorgehensweise, sondern auch der Verbreitungsweg von Petya ist ungewöhnlich. Die Erpresser verschicken E-Mails, die vermeintlich von einem Bewerber stammen, der sich für einen Job im Unternehmen bewirbt. Die Erscheinung wirkt täuschend echt! Die Mails sind in grammatikalisch korrektem Deutsch verfasst. Die angeblichen Bewerbungsunterlagen sind bei dem Cloud-Speicherdienst Dropbox hinterlegt, “weil die Datei für die Email zu gross war”.

Dropbox-Ordner heisst im untersuchten Fall “Bewerbungsmappe” und ist mit einem Bewerbungsfoto ausgestattet. Der Trojaner verbirgt sich in der Datei “Bewerbungsmappe-gepackt.exe”, die sich als ein selbstextrahierendes Archiv ausgibt. Als Programm-Symbol haben die Täter das Icon eines bekannten Pack-Programms gewählt.

Eine vollständige Analyse der Petya-Aktivitäten durch verschiedenste Sicherheitsforscher ist noch im Gange. Auf www.heise.de werden aktuelle Erkenntnisse publiziert und in diesem Beitrag eingefügt.

Wenn Sie von einem Verschlüsselungstrojaner betroffen sind, können Sie uns umgehend kontaktieren. Wir unterstützen Sie!