2188177

Das hilft gegen die Ransomware Petya

04.04.2016 | 09:17 Uhr |

Ist ein PC, der mit dem Erpresserschädling Petya infiziert ist, mit UEFI-BIOS ausgestattet und eingerichtet, kann der angerichtete Schaden repariert werden.

Kürzlich ist mit der Ransomware Petya ein neuer Erpresserschädling aufgetaucht, der scheinbar die ganze Festplatte verschlüsselt. Eine noch nicht abgeschlossene Analyse der G Data SecurityLabs hat ergeben, dass Systeme mit UEFI-BIOS ohne Datenverlust restauriert werden können, da die Petya-Programmierer ihr Machwerk offenbar nur auf Rechnern mit klassischem BIOS und MBR (Master Boot Record) getestet haben.

Bei der Infektion mit Petya erzwingt der Schädling einen Neustart des Rechners, nachdem er den MBR manipuliert hat. Ist Windows im MBR-Modus installiert, kann Petya beim Neustart die Kontrolle übernehmen und verschlüsselt zumindest die Master File Table (Dateisystemtabelle) der Startpartition. Damit kann nicht mehr auf das Dateisystem zugegriffen werden, Windows startet nicht mehr. Ob weitere Teile der Festplatte verschlüsselt werden, ist derzeit noch nicht klar. Andere Laufwerke fasst Petya offenbar nicht an.

Tests bei G Data haben ergeben, dass auch bei einem Rechner mit Windows 10 und UEFI-BIOS der MBR überschrieben wird. Dieser hat hier jedoch keine Funktion. Doch auch die Partitionstabelle GPT (GUID Partition Table) wird bei der Infektion zerschossen. Windows kann dadurch nicht mehr starten und es öffnet sich die EFI-Shell (sofern vorhanden). Die Partitionen der Festplatte sind jedoch unbeschädigt, es werden keine Daten verschlüsselt.

Mit dem Programm TestDisk ist es den Experten bei G Data gelungen die GPT zu restaurieren. Da jedoch die Bezeichner der Partitionen verloren sind, muss der Rechner von einer Windows-DVD (oder einem für die Windows-Installation eingerichteten USB-Stick) gestartet werden. Wählen Sie dann die automatische Reparatur (Automatic Repair). Im Test wurde so der Startmechanismus repariert, Windows 10 startete und lief ohne Probleme.

Technische Einzelheiten zur Ransomware Petya, ihren Verschlüsselungsverfahren und weitere Erkenntnisse aus der noch laufenden Analyse des Schädlings finden Sie im G Data Security Blog .

0 Kommentare zu diesem Artikel
2188177