DevCat-Network

Das Zuhause der Nerdkatzen

Petya – Der kleine Bruder von Locky

Neben der sehr bekannten „locky“-Ransomware folgt jetzt eine (indirekte) Weiterentwicklung Namens Petya. Diese ist ähnlich wie Locky und verschlüsselt Dateien auf infizierten Rechnern. Damit fängt Petya allerdings erst nach einem erzwungenen Neustart des Computers an. Im Gegensatz zu Locky verschlüsselt Petya allerdings nicht nur bestimmte Dateitypen, sondern gleich alle Daten auf den Festplatten des betroffenen PCs inklusive des Master Boot Records (MBR).

Hauptsächlich Unternehmen als Ziel
Aktuell wird Petya als vermeintliche Online-Bewerbung gezielt an Unternehmen versendet. Die Malware arbeitet in zwei Stufen, vor dem Beginn der zweiten Stufe kann die Verschlüsselung der Daten eventuell noch aufgehalten werden.

Infektionsablauf
Nach dem Ausführen des vermeintlichen Bewerbungspakets arbeitet Petya zunächst im Hintergrund, weitestgehend vom Nutzer unbemerkt. Dabei wird der Master Boot Record (MBR) so manipuliert, dass er beim nächsten Hochfahren des PCs nicht mehr Windows, sondern ein einfaches Verschlüsselungsprogramm startet. Ist der Master Boot Record manipuliert, wird ein Crash des Betriebssystems provoziert und neugestartet.

Beim Starten wird dem Nutzer dann ein Programm angezeigt, welches augenscheinlich die Festplatte nach Fehlern durchsucht und den Ablauf des altbekannten chkdsk vorgaukelt. Tatsächlich wird bei diesem Vorgang jedoch die Festplatte beziehungsweise die Dateien verschlüsselt. Anschließend erscheint die Aufforderung an den Nutzer, über das Tor-Netzwerk einen individuellen Key zum Entschlüsseln der Daten mit Bitcoins zu erwerben.

Verschlüsselung lässt sich verhindern
Wird Petya rechtzeitig erkannt, lässt sich die Verschlüsselung unter Umständen verhindern. Dazu ist lediglich eine Reparatur des Bootsektors erforderlich, bevor der Verschlüsselungsvorgang beginnt.

Dazu ändert man zunächst über das BIOS die Bootreihenfolge, sodass der PC nicht mehr von der Festplatte startet. Stattdessen bootet man von einer Installations-CD von Windows und startet dort mithilfe der Computerreparaturoptionen die Eingabeaufforderung. Über die Befehle Bootrec /RebuildBcd, Bootrec /fixMbr und Bootrec /fixboot wird der Master Boot Record wiederhergestellt. Eine Verschlüsselung der Daten findet dann im Idealfall nicht mehr statt, da das Programm für die Verschlüsselung aus dem Master Boot Record entfernt wird. Winddows sollte sich nach der Reparatur wieder normal starten lassen. Nichts desto trotz, könnten sich Reste von Petya im Betriebssystem befinden. Zu Einer Neuinstallation sollte man dennoch tendieren, aber so kann man zumindest seine Daten sichern – sollte es nicht sowieso ein Backup geben.



Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

DevCat-Network © 2011-2015 Impressum - Datenschutz