Beiträge

Entschlüsselungstool für Petya, Goldeneye und Mischa

Vor eini­gen Wochen haben die Entwickler der Kryptotrojaner Petya, Goldeneye und Mischa die Master-Keys für die­se Trojaner ver­öf­fent­licht. Nun hat Malwarebytes ein Entschlüsselungstool her­aus­ge­bracht. Eine Anleitung zur kor­rek­ten Anwendung fin­det sich eben­falls im Malwarebytes-Blog.

Wer sich einen ande­ren aktu­el­len Verschlüsseliungstrojaner gefan­gen hat, dem bleibt nicht viel Spielraum. Sind drin­gend benö­tig­te Daten betrof­fen, bleibt im Zweifel nur die Zahlung des Lösegelds. Ansonsten emp­fiehlt es sich, die betrof­fe­nen Platten aus­zu­bau­en und auf die Seite zu legen. In der Vergangenheit wur­den immer wie­der Master-Schlüssel her­aus­ge­ge­ben oder die genutz­te Verschlüsselung war feh­ler­haft. Dementsprechend gab und gibt es immer wie­der neue Entschlüsselungstools für wei­te­re Varianten der Kryptotrojaner.

Petya Logo (Trendmicro.com)

Krypto-Trojaner Petya kommt via Dropbox und verschlüsselt ganze Festplatten

Es hat nur weni­ge Tage gedau­ert, nun ist der Krypto-Trojaner Petya auch bei uns in Deutschland am Start. Wie sei­ne Kollegen Locky und Teslacrypt ver­schlüs­selt Petya das befal­le­ne Gerät, jedoch deut­lich effektiver.

Infektion via Dropbox

Perfide tarnt sich Petya in einer Email als angeb­li­che Bewerbung. Da die Bewerbungsunterlagen für den Versand zu groß sei­en, sind die­se in einer Dropbox-Freigabe her­un­ter­zu­la­den. Der Link führt kor­rek­ter­wei­se in einen frei­ge­ge­be­nen Dropbox-Ordner mit zwei Dateien. Um den Schein zu wah­ren, ist sogar ein Bewerbungsfoto dabei. Der eigent­li­che Schadcode befin­det sich in einer als Archiv getarn­ten aus­führ­ba­ren EXE-Datei.

Ziel: nicht aus­ge­wähl­te Dateien, son­dern gan­ze Festplatten

Entgegen den bis­he­ri­gen alten Bekannten Locky und Teslacrypt hat es der Krypto-Trojaner Petya, ein­mal aus der Dropbox gela­den und akti­viert, nicht auf aus­ge­wähl­te Datei-Typen abge­se­hen. Stattdessen mani­pu­liert Petya den Master-Boot-Record (MBR) der Festplatte. Der MBR ent­hält rele­van­te Informationen für den Start des Betriebssystems. Laut heise.de erzwingt Petya nach die­ser Manipulation des MBR  einen Neustart des System mit­tels Bluescreen, ent­we­der auto­ma­ti­siert oder manu­ell durch den Benutzer.

Nach dem Neustart wird der Nutzer durch einen ASCII-Totenkopf begrüßt und erhält wei­te­re Informationen über den Sachverhalt des Angriffs sowie der Möglichkeit der Entschlüsselung.

Petya Sreen (Trendmicro)

Windows-Systeme betrof­fen

Petya hat es zur Zeit auf Windows-Systeme abge­se­hen. Da das Tool zur Ausführung erwei­ter­te Berechtigungen benö­tigt, gibt es sich gegen­über der Benutzerkontensteuerung (UAC) als ver­trau­ens­wür­di­ges Programm aus. Der unbe­darf­te User neigt zur Bestätigung der Abfrage.

Tools zur Beseitigung von Petya

Laut heise.de ist die ange­wand­te Verschlüsselungsmethode noch unklar. Neben den Meldungen von TrendMicro und heise.de, die bei­de die Manipulation des MBR beschrei­ben, soll es nach ande­ren Quellen eine kom­plet­te Verschlüsselung des Dateisystems geben.

Sofern das gerät in hek­ti­sche Aktivität ver­fällt, raten heise.de und Trendmicro zur sofor­ti­gen Abschaltung des Geräts. Bereits im Netz kur­sie­ren­de Programme zur Beseitigung von Petya nach Befall soll­ten nicht ein­ge­setzt wer­den. Es ist davon aus­zu­ge­hen, dass die­se im Moment ledig­lich wei­te­ren Schaden anrichten.

Aktuell ver­langt Petya 0,99 Bitcoin (ca. 380 Euro) Lösegeld für die Freigabe des Systems.