2185666

Erpresserschädling verschlüsselt ganze Festplatte

24.03.2016 | 17:39 Uhr |

Die neu entdeckte Ransomware Petya verschlüsselt gleich komplette Festplatten. Sie wird per Mail mit Dropbox-Link verbreitet und zielt offenbar auf Unternehmen. Der Schädling manipuliert den Bootsektor.

Die bislang bekannten Erpresserschädlinge (Ransomware) wie Locky verschlüsseln Dateien auf der Festplatte, zum Teil auch auf externen Speichermedien und Netzlaufwerken. Der Bochumer Antivirushersteller G Data berichtet nun über die Entdeckung eines neuen Schädlings, der scheinbar gleich die ganze Festplatte verschlüsselt. „Petya“ wird auch in Deutschland verbreitet.

Wie die G DATA SecurityLabs in ihrem Blog melden, wird Petya („Win32.Trojan-Ransom.Petya.A“) etwa mit Mails verteilt, die einen Download-Link zu Dropbox enthalten. Bei dem aufgeführten Beispiel handelt es sich um eine vermeintliche Bewerbungs-Mail, die sich an die Personalabteilung einer Firma richtet. Ein Klick auf den Link zur vorgeblichen Bewerbungsmappe befördert den Schädling als „Bewerbungsmappe-gepackt.exe“ auf die Festplatte.

Wird diese Datei geöffnet, also ausgeführt, stürzt der PC mit einem Bluescreen ab und startet neu. Doch zuvor hat der Schädling noch den Bootsektor der Festplatte (MBR, Master Boot Record) manipuliert. So kann Petya den Startvorgang kontrollieren. Es erscheint zunächst ein schwarzer Textbildschirm, der den Eindruck erwecken soll, das Programm CHKDSK prüfe die Festplatte. Danach erscheint ein weiterer Textbildschirm, diesmal mit rotem Hintergrund. Er zeigt einen aus ASCII-Zeichen aufgebauten Totenkopf.

Ransomware Petya Website
Vergrößern Ransomware Petya Website

Auf dem nächsten Bildschirm folgt dann die Auflösung: der Rechner ist mit Petya infiziert. Angeblich wurde die Festplatte mit einem Verschlüsselungsalgorithmus militärischer Stärke verschlüsselt. Der Erpresserschädling fordert ein Lösegeld, das sich nach sieben Tagen verdoppeln soll. G Data geht derzeit davon aus, dass die Festplatte nicht verschlüsselt, sondern lediglich das Dateisystem durch Manipulationen am Startbereich unzugänglich wird.

Die Analyse der Ransomware Petya ist noch nicht abgeschlossen. Die laufenden Untersuchungen müssen erweisen, ob die Manipulationen durch den Schädling rückgängig gemacht werden können, ohne den Kriminellen das geforderte Lösegeld zahlen zu müssen. Sie sollten sich in jedem Fall durch regelmäßige Backups vor unliebsamen Überraschungen wie Ransomware schützen.

0 Kommentare zu diesem Artikel
2185666