by: Sascha KuhrauPosted on:

Krypto-Trojaner Petya kommt via Dropbox und verschlüsselt ganze Festplatten

Es hat nur weni­ge Tage gedau­ert, nun ist der Kryp­to-Tro­ja­ner Petya auch bei uns in Deutsch­land am Start. Wie sei­ne Kol­le­gen Locky und Tes­lacrypt ver­schlüs­selt Petya das befal­le­ne Gerät, jedoch deut­lich effek­ti­ver.

Infek­ti­on via Drop­box

Per­fi­de tarnt sich Petya in einer Email als angeb­li­che Bewer­bung. Da die Bewer­bungs­un­ter­la­gen für den Ver­sand zu groß sei­en, sind die­se in einer Drop­box-Frei­ga­be her­un­ter­zu­la­den. Der Link führt kor­rek­ter­wei­se in einen frei­ge­ge­be­nen Drop­box-Ord­ner mit zwei Datei­en. Um den Schein zu wah­ren, ist sogar ein Bewer­bungs­fo­to dabei. Der eigent­li­che Schad­code befin­det sich in einer als Archiv getarn­ten aus­führ­ba­ren EXE-Datei.

Ziel: nicht aus­ge­wähl­te Datei­en, son­dern gan­ze Fest­plat­ten

Ent­ge­gen den bis­he­ri­gen alten Bekann­ten Locky und Tes­lacrypt hat es der Kryp­to-Tro­ja­ner Petya, ein­mal aus der Drop­box gela­den und akti­viert, nicht auf aus­ge­wähl­te Datei-Typen abge­se­hen. Statt­des­sen mani­pu­liert Petya den Mas­ter-Boot-Record (MBR) der Fest­plat­te. Der MBR ent­hält rele­van­te Infor­ma­tio­nen für den Start des Betriebs­sys­tems. Laut heise.de erzwingt Petya nach die­ser Mani­pu­la­ti­on des MBR  einen Neu­start des Sys­tem mit­tels Blue­screen, ent­we­der auto­ma­ti­siert oder manu­ell durch den Benut­zer.

Nach dem Neu­start wird der Nut­zer durch einen ASCII-Toten­kopf begrüßt und erhält wei­te­re Infor­ma­tio­nen über den Sach­ver­halt des Angriffs sowie der Mög­lich­keit der Ent­schlüs­se­lung.

Petya Sreen (Trendmicro)

Win­dows-Sys­te­me betrof­fen

Petya hat es zur Zeit auf Win­dows-Sys­te­me abge­se­hen. Da das Tool zur Aus­füh­rung erwei­ter­te Berech­ti­gun­gen benö­tigt, gibt es sich gegen­über der Benut­zer­kon­ten­steue­rung (UAC) als ver­trau­ens­wür­di­ges Pro­gramm aus. Der unbe­darf­te User neigt zur Bestä­ti­gung der Abfra­ge.

Tools zur Besei­ti­gung von Petya

Laut heise.de ist die ange­wand­te Ver­schlüs­se­lungs­me­tho­de noch unklar. Neben den Mel­dun­gen von Trend­Mi­cro und heise.de, die bei­de die Mani­pu­la­ti­on des MBR beschrei­ben, soll es nach ande­ren Quel­len eine kom­plet­te Ver­schlüs­se­lung des Datei­sys­tems geben.

Sofern das gerät in hek­ti­sche Akti­vi­tät ver­fällt, raten heise.de und Trend­mi­cro zur sofor­ti­gen Abschal­tung des Geräts. Bereits im Netz kur­sie­ren­de Pro­gram­me zur Besei­ti­gung von Petya nach Befall soll­ten nicht ein­ge­setzt wer­den. Es ist davon aus­zu­ge­hen, dass die­se im Moment ledig­lich wei­te­ren Scha­den anrich­ten.

Aktu­ell ver­langt Petya 0,99 Bit­co­in (ca. 380 Euro) Löse­geld für die Frei­ga­be des Sys­tems.