Ransomware Petya - ein technischer Überblick

31.03.2016
G DATA Blog

Am 24. März erhielten die G DATA-Forscher eine neue Datei, die zu einer bis dato nicht bekannten Ransomware gehörte, die Petya getauft wurde. Anders als andere Arten von Ransomware hindert Petya durch eine Manipulation des Master Boot Records (MBR) und Installation eines eigenen Bootloaders das Betriebssystem daran, zu starten. Zusätzlich werden auch Dateisystemtabellen verschlüsselt. Dieser Bericht enthält den Zwischenstand der Untersuchungen, die noch andauern.

Infektionsweg

Die Verbreitungsart von Petya lässt den Schluss zu, dass deutschsprachige Firmen das Ziel sind.  In einer sprachlich gut verfassten und grammatisch korrekten Email, die vorgeblich eine Bewerbung enthält, wird auf einen Dropbox-Link verwiesen, unter dem die angeblichen Bewerbungsunterlagen heruntergeladen werden können. In einer anderen Version ist eine ZIP-Datei in der Mail enthalten. Lädt ein Opfer die Datei herunter, findet es hier eine ausführbare (*.exe) Datei. Für weitere Details, lesen Sie: "Ransomware Petya verschlüsselt die Festplatte"

Derzeit gibt es keine Hinweise darauf, dass Petya sich über das Netzwerk verbreitet. Abgesehen von der Manipulation des MBR gibt es keine Anhaltspunkte für weitere Mechanismen, die eine Persistenz von Petya erzielen. 

Stufe 1: Erweiterte Rechte & Schlüsselgenerierung

Hat ein Opfer die Datei heruntergeladen und führt sie aus, werden zunächst über die Benutzerkontensteuerung (UAC) erweiterte Rechte angefordert. Nach Erteilung dieser Berechtigungen ermittelt Petya zunächst die Systemfestplatte. Nach dem derzeitigen Kenntnisstand werden andere Laufwerke nicht in Mitleidenschaft gezogen.

Es werden zwei Schlüssel generiert. Der erste generierte Schlüssel ist 16 Zeichen lang und stellt den Entschlüsselungscode dar, mit dem ein infiziertes System nach dem Kauf des Codes wieder entsperrt werden kann. Dieser Code wird wiederum mit einem integrierten Kryptografieschema verschlüsselt (ECIES mit AES-128 CBC). Das Ergebnis dieser Verschlüsselung ist der zweite generierte Code, der im „Erpresserschreiben“ zu sehen ist. Der Entschlüsselungscode wird im weiteren Verlauf von der Festplatte gelöscht. Zusätzlich wird ein Nonce sowie ein SALSA20-Schlüssel erzeugt und in den MBR geschrieben, mit dem der folgende Verschlüsselungsprozess durchgeführt wird. 

Stufe 2: Systemneustart und Verschlüsselung

Um das System zu einem Neustart zu zwingen, nutzt Petya zwei Windows-Funktionen: SeShutdownPrivilege und NtRaiseHardError. Hierdurch wird ein Bluescreen erzeugt (also ein Systemabsturz), der den PC neu startet. 

Nach dem Neustart fährt das System mit dem manipulierten Petya-MBR hoch. Es wird ein gefälschter CHKDSK-Dialog angezeigt. Währenddessen beginnt im Hintergrund die Verschlüsselung von Teilen der Festplatte. Nach Beendigung wird der SALSA-Schlüssel im modifizierten Petya-MBR mit Nullen überschrieben und das System noch einmal neu gestartet. Erst dann wird der Petya-Sperrbildschirm angezeigt.

Petya verschlüsselt bei Systemen mit klassischem MBR die Master File Table (MFT), also die Dateisystemtabelle der Festplatte. Dazu wird eine SALSA20-Stromverschlüsselung benutzt. Die Dateien selbst werden dabei nicht berührt, allerdings werden sowohl die Dateien als auch das installierte Betriebssystem für den Benutzer unzugänglich. Derzeit ist noch unklar, ob andere Teile der Festplatte ebenfalls verschlüsselt werden.

Update: Bei einem Test mit einem Windows 10 System mit UEFI-BIOS (Secure Boot und Legacy Boot deaktiviert) wurde auch der MBR überschrieben. Der spielt dort aber keine Rolle. Viel gravierender ist, dass die GPT (die Partitionstabelle des UEFI-Systems) vollständig zerstört wird. Dadurch bootet Windows nicht mehr, sondern öffnet die EFI-Shell. Die Partitionen selbst sind aber unversehrt. Wir konnten mit dem Tool TestDisk (http://www.cgsecurity.org/wiki/TestDisk) die GPT wieder herstellen. Da auch die IDs der Partitionen nicht mehr verfügbar sind, muss man von einer Windows 10 DVD booten und den „Automatic Repair“ starten. Mit dem so korrigierten Bootmechanismus startete Windows 10 und lief problemlos.

Entschlüsselung

Petya startet nach jedem Reboot, bis der Benutzer einen Entsperrcode gekauft und eingegeben hat. Der Entsperrcode hat mindestens 16 Zeichen. Jeder eingegebene Entsperrcode wird verifiziert, indem ein bestimmter Bereich der Festplatte probehalber mit diesem Code entschlüsselt wird. Ist das Resultat der Entschlüsselung wie erwartet, werden die übrigen Daten entschlüsselt und das System ist wieder normal zugänglich.

Vorbeugung und Sofortmaßnahmen

Da der Infektionsweg recht verbreitet ist, sollten Anwender Vorsicht walten lassen, wenn sie zum Herunterladen von Dateien aufgefordert werden. Mittlerweile wurden die Betreiber von Dropbox darüber informiert, dass ihr Dienst misbräuchlich für die Verbreitung von Schadsoftware genutzt wird. Seitdem ist die entsprechende Datei entfernt worden und die Downloadlinks damit ungültig.

Es wurde mehrfach angeführt, dass ein Infiziertes System durch die Windows-eigene Wiederherstellungsfunktion für den MBR (fixmbr) wieder zugänglich gemacht werden können. Die Verschlüsselung der Dateisystemtabellen und der manipulierte MBR sind jedoch nicht voneinander abhängig, sodass eine Wiederherstellung des MBR mit Bordmitteln keinen Erfolg bringen wird. Selbst mit intaktem Windows-Bootloader „wüsste“ das System nicht, wo es nach dem Betriebssystem suchen soll. 

Zusätzliche Informationen

Theoretisch kann die Verschlüsselung der MFT unterbrochen werden, während der vorgebliche CHKDSK-Dialog angezeigt wird; dies darf jedoch nicht als gesicherte Erkenntnis angesehen werden, da sie auf Berichten Dritter beruht. Eine infizierte Festplatte an ein anderes System anzuschließen, um Daten zu retten, kann unter Umständen Ergebnisse bringen, jedoch herrscht keine Klarheit darüber. Petya kontaktiert auch keine Kontrollserver im Internet – es wird nur der Link zur Bezahlseite angezeigt.


Die Sicherheitslösungen von G DATA entdecken die zur Verfügung stehenden Varianten der Petya-Installationsroutine. Das Anlegen von Datensicherungen ist neben der Installation einer umfassenden Sicherheitssoftware die wichtigste Schutzmaßnahme gegen Datenverlust. 

Information für Forscherkollegen

Die SHA256 der untersuchten Datei lautet:

26b4699a7b9eeb16e76305d843d4ab05e94d43f3201436927e13b3ebafa90739

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein