So funktioniert der Krypto-Trojaner Petya
Mit Petya ist derzeit ein neuer Krypto-Trojaner im Umlauf, der ähnlich wie Locky Dateien auf infizierten Rechnern verschlüsselt und diese erst nach der Zahlung eines bestimmten Geldbetrages wieder freigibt. Im Gegensatz zu Locky verschlüsselt Petya allerdings nicht nur bestimmte Dateitypen, sondern gleich alle Daten auf den Festplatten des betroffenen PCs.
Nach dem Ausführen arbeitet Petya zunächst im Hintergrund, also vom Nutzer unbemerkt. Dabei wird der Master Boot Record (MBR) umgeschrieben, sodass beim nächsten Hochfahren des PCs nicht mehr Windows, sondern ein Verschlüsselungsprogramm startet. Anschließend wird der Computer zum Absturz gebracht und so zum Neustart gezwungen.
Beim Starten wird dem Nutzer dann ein Programm angezeigt, welches angeblich die Festplatte nach Fehlern durchsucht. Tatsächlich wird bei dem Vorgang jedoch die Festplatte verschlüsselt. Anschließend erscheint die Aufforderung an den Nutzer, über das Tor-Netzwerk einen individuellen Key zum Entschlüsseln der Daten zu erwerben.
Hierzu ändert man zunächst über das BIOS die Bootreihenfolge, sodass der PC nicht mehr von der Festplatte startet. Stattdessen bootet man von der Installations-CD von Windows und öffnet dort mithilf der Computerreparaturoptionen die Eingabeaufforderung. Über die Befehle Bootrec /RebuildBcd, Bootrec /fixMbr und Bootrec /fixboot wird der Master Boot Record wiederhergestellt, eine Verschlüsselung der Daten findet dann nicht mehr statt.
Unternehmen als Ziel
Aktuell wird Petya ausschließlich als vermeintliche Bewerbung an Unternehmen versendet. Der Schädling arbeitet in zwei Stufen, vor dem Beginn der zweiten Stufe kann die Verschlüsselung der Daten noch aufgehalten werden, wie unsere Kollegen von SemperVideo in diesem Video zeigen.Nach dem Ausführen arbeitet Petya zunächst im Hintergrund, also vom Nutzer unbemerkt. Dabei wird der Master Boot Record (MBR) umgeschrieben, sodass beim nächsten Hochfahren des PCs nicht mehr Windows, sondern ein Verschlüsselungsprogramm startet. Anschließend wird der Computer zum Absturz gebracht und so zum Neustart gezwungen.
Beim Starten wird dem Nutzer dann ein Programm angezeigt, welches angeblich die Festplatte nach Fehlern durchsucht. Tatsächlich wird bei dem Vorgang jedoch die Festplatte verschlüsselt. Anschließend erscheint die Aufforderung an den Nutzer, über das Tor-Netzwerk einen individuellen Key zum Entschlüsseln der Daten zu erwerben.
Verschlüsselung verhindern
Wird Petya rechtzeitig erkannt, lässt sich die Verschlüsselung somit verhindern. Dazu ist lediglich eine Reparatur des Bootsektors erforderlich, bevor der Verschlüsselungsvorgang beginnt.Hierzu ändert man zunächst über das BIOS die Bootreihenfolge, sodass der PC nicht mehr von der Festplatte startet. Stattdessen bootet man von der Installations-CD von Windows und öffnet dort mithilf der Computerreparaturoptionen die Eingabeaufforderung. Über die Befehle Bootrec /RebuildBcd, Bootrec /fixMbr und Bootrec /fixboot wird der Master Boot Record wiederhergestellt, eine Verschlüsselung der Daten findet dann nicht mehr statt.
Verwandte Videos
- Vorsicht vor Windows Toolbox: Malware kommt unerkannt mit
- So lässt sich Google Drive als Schadware-Sandbox verwenden
- Neue Malware ändert die Proxy-Einstellungen infizierter PCs
- So lädt man gezielt Malware aus dem Internet herunter
- Ventoy: Alles für den weihnachtlichen IT-Support auf einem USB-Stick
Verwandte Tags
1. hast du dich unklar ausgedrückt, ein 404 ist immerhin schon mal ein server response
2. ich sehe eine captcha-Abfrage, auch das /BibXga mit eintippen, dass nur die Hauptadresse einen 404er ausspuckt, ist bei derartigen Seiten doch vorhersehbar und logisch.
... sicher, man könnte alles abschotten, aber dann wäre in einem Unternehmen fast die ganz tägliche Kommunikation gegen aussen nicht mehr vorhanden, geschweige würde es einen Aufstand der Mitarbeiter geben.
Man muss verständlicherweise einen Teil offen lassen, sonst geht nichts mehr in der heutigen vernetzten Wirtschaft.
Würde es ein leicht umsetzbares Mittel geben, welches noch kostengünstig wäre, dann hätten wir alle diese Meldungen in den IT News nicht
Interessant wäre nun, wie sich Petya bei GPT-Platten verhält...
UEFI bedingt nicht GPT, aber GPT bedingt UEFI. Daher die Frage ;)