Petya Logo (Trendmicro.com)

Krypto-Trojaner Petya kommt via Dropbox und verschlüsselt ganze Festplatten

Es hat nur weni­ge Tage gedau­ert, nun ist der Krypto-Trojaner Petya auch bei uns in Deutschland am Start. Wie sei­ne Kollegen Locky und Teslacrypt ver­schlüs­selt Petya das befal­le­ne Gerät, jedoch deut­lich effek­ti­ver.

Infektion via Dropbox

Perfide tarnt sich Petya in einer Email als angeb­li­che Bewerbung. Da die Bewerbungsunterlagen für den Versand zu groß sei­en, sind die­se in einer Dropbox-Freigabe her­un­ter­zu­la­den. Der Link führt kor­rek­ter­wei­se in einen frei­ge­ge­be­nen Dropbox-Ordner mit zwei Dateien. Um den Schein zu wah­ren, ist sogar ein Bewerbungsfoto dabei. Der eigent­li­che Schadcode befin­det sich in einer als Archiv getarn­ten aus­führ­ba­ren EXE-Datei.

Ziel: nicht aus­ge­wähl­te Dateien, son­dern gan­ze Festplatten

Entgegen den bis­he­ri­gen alten Bekannten Locky und Teslacrypt hat es der Krypto-Trojaner Petya, ein­mal aus der Dropbox gela­den und akti­viert, nicht auf aus­ge­wähl­te Datei-Typen abge­se­hen. Stattdessen mani­pu­liert Petya den Master-Boot-Record (MBR) der Festplatte. Der MBR ent­hält rele­van­te Informationen für den Start des Betriebssystems. Laut heise.de erzwingt Petya nach die­ser Manipulation des MBR  einen Neustart des System mit­tels Bluescreen, ent­we­der auto­ma­ti­siert oder manu­ell durch den Benutzer.

Nach dem Neustart wird der Nutzer durch einen ASCII-Totenkopf begrüßt und erhält wei­te­re Informationen über den Sachverhalt des Angriffs sowie der Möglichkeit der Entschlüsselung.

Petya Sreen (Trendmicro)

Windows-Systeme betrof­fen

Petya hat es zur Zeit auf Windows-Systeme abge­se­hen. Da das Tool zur Ausführung erwei­ter­te Berechtigungen benö­tigt, gibt es sich gegen­über der Benutzerkontensteuerung (UAC) als ver­trau­ens­wür­di­ges Programm aus. Der unbe­darf­te User neigt zur Bestätigung der Abfrage.

Tools zur Beseitigung von Petya

Laut heise.de ist die ange­wand­te Verschlüsselungsmethode noch unklar. Neben den Meldungen von TrendMicro und heise.de, die bei­de die Manipulation des MBR beschrei­ben, soll es nach ande­ren Quellen eine kom­plet­te Verschlüsselung des Dateisystems geben.

Sofern das gerät in hek­ti­sche Aktivität ver­fällt, raten heise.de und Trendmicro zur sofor­ti­gen Abschaltung des Geräts. Bereits im Netz kur­sie­ren­de Programme zur Beseitigung von Petya nach Befall soll­ten nicht ein­ge­setzt wer­den. Es ist davon aus­zu­ge­hen, dass die­se im Moment ledig­lich wei­te­ren Schaden anrich­ten.

Aktuell ver­langt Petya 0,99 Bitcoin (ca. 380 Euro) Lösegeld für die Freigabe des Systems.

0 Kommentare

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.