24.03.2016 | Bochum, Autor: G DATA SecurityLabs

Ransomware Petya verschlüsselt die Festplatte

G DATA hat einen neuen Typ von Ransomware entdeckt.

Als erste Ransomware verschlüsselt Petya Festplatten. Ziel sind Unternehmen. Die Verbreitung erfolgt per Bewerbungs-Mail mit einem Download auf Dropbox.

In den G DATA SecurityLabs sind heute Dateien aufgetaucht, die einen neuen Typ von Ransomware zugeordnet werden. Die aktuell gängigen Typen von Ransomware wie z.B. Locky, CryptoWall oder TeslaCrypt verschlüsseln einzelne Dateien.

Die neue Ransomware Petya verschlüsselt die Festplatte. Die aktuelle Kampagne zielt auf Unternehmen ab. In einer E-Mail an die Personalabteilung wird auf eine Datei verwiesen, die bei Dropbox liegt.

Wer dem Link folgt und die Datei „Bewerbungsmappe-gepackt.exe“ anklickt

erlebt, dass der Rechner mit einem BlueScreen abstürzt und neu bootet. Davor wird der MBR so manipuliert, dass Petya die Kontrolle über den Bootvorgang übernimmt. Das System startet dann mit dieser Meldung

Angeblich wird jetzt das System geprüft. In Wahrheit werden die Dateien auf der Festplatte unzugänglich gemacht. Wir gehen momentan davon aus, dass die Dateien selbst nicht verschlüsselt werden, sondern nur der Zugang zu den Dateien unterbunden wird. Wenn die vermeintlichen Prüfungen abgeschlossen sind, kann man dann festzustellen, dass man offenbar einen Fehler gemacht hat.

Nach einem Tastendruck bekommt man weitere Anweisungen. Um die Spuren zu verwischen missbrauchen die Angreifer TOR.

Auf der dazugehörigen Webseite wird behauptet, dass die Festplatte mit einem Algorithmus verschlüsselt wurde, der auch militärischen Ansprüchen gerecht wird. In weiteren Schritten kann man einen Schlüssel für seine Daten erwerben. Nach sieben Tagen verdoppelt sich der Preis.

Petya in action:

Ob die Daten tatsächlich verloren sind, ist noch unklar. Die Experten der G DATA SecurityLabs arbeiten weiter an der Analyse dieser neuartigen Ransomware. Entsprechende Schutzmaßnahmen wie Erkennung der Dateien (unsere Erkennung heißt „Win32.Trojan-Ransom.Petya.A“), Blockieren der URLs usw wurden getroffen. Ein aktueller Virenschutz hilft also. Weitere Schutzmaßnahmen ergeben sich aus der Analyse. 

Was tun?

  • Benutzen Sie eine umfassende Sicherheitslösung.
  • Vorbeugen: Es ist wichtig, funktionsfähige Backups zu haben. Mit G DATA Total Protection erstellen Sie Backups besonders komfortabel
  • Wer aufmerksam ist, bemerkt spätestens in der Dropbox, dass es sich um einen ausführbare Datei mit der Dateiendung „.exe“ handelt und bricht die Bearbeitung der Bewerbung ab.
  • Falls es doch passiert ist, nehmen Sie den Rechner vom Netz. Der Rechner sollte aber nicht voreilig verloren gegeben werden. Noch ist unklar, ob sich die Daten auf der Festplatte nicht doch noch retten lassen. Wir werden hier berichten, sobald unsere Analysen darüber Klarheit liefern.
  • Sie sollten keinesfalls das Lösegeld zahlen

Update 31.03.2016 16 Uhr

Lesen Sie unseren technischen Überblick zur Ransomware

Update 1. April 2016, 12:00 Uhr:

Seit etwa vier Stunden gibt es eine neue Petya-Welle. Die bösartige Datei ist wieder in einer Dropbox hinterlegt. Eine Analyse läuft bereits. 


Share this article

G DATA | Trust in German Sicherheit