So funktioniert der Krypto-Trojaner Petya

Malware, Trojaner, Schadsoftware, SemperVideo, Petya, Cryptolocker, MBR, Master Boot Record, Bootsektor

Mit Petya ist derzeit ein neuer Krypto-Trojaner im Umlauf, der ähnlich wie Locky Dateien auf infizierten Rechnern verschlüsselt und diese erst nach der Zahlung eines bestimmten Geldbetrages wieder freigibt. Im Gegensatz zu Locky verschlüsselt Petya allerdings nicht nur bestimmte Dateitypen, sondern gleich alle Daten auf den Festplatten des betroffenen PCs.

Unternehmen als Ziel

Aktuell wird Petya ausschließlich als vermeintliche Bewerbung an Unternehmen versendet. Der Schädling arbeitet in zwei Stufen, vor dem Beginn der zweiten Stufe kann die Verschlüsselung der Daten noch aufgehalten werden, wie unsere Kollegen von SemperVideo in diesem Video zeigen.

Nach dem Ausführen arbeitet Petya zunächst im Hintergrund, also vom Nutzer unbemerkt. Dabei wird der Master Boot Record (MBR) umgeschrieben, sodass beim nächsten Hochfahren des PCs nicht mehr Windows, sondern ein Verschlüsselungsprogramm startet. Anschließend wird der Computer zum Absturz gebracht und so zum Neustart gezwungen.

Beim Starten wird dem Nutzer dann ein Programm angezeigt, welches angeblich die Festplatte nach Fehlern durchsucht. Tatsächlich wird bei dem Vorgang jedoch die Festplatte verschlüsselt. Anschließend erscheint die Aufforderung an den Nutzer, über das Tor-Netzwerk einen individuellen Key zum Entschlüsseln der Daten zu erwerben.

Verschlüsselung verhindern

Wird Petya rechtzeitig erkannt, lässt sich die Verschlüsselung somit verhindern. Dazu ist lediglich eine Reparatur des Bootsektors erforderlich, bevor der Verschlüsselungsvorgang beginnt.

Hierzu ändert man zunächst über das BIOS die Bootreihenfolge, sodass der PC nicht mehr von der Festplatte startet. Stattdessen bootet man von der Installations-CD von Windows und öffnet dort mithilf der Computerreparaturoptionen die Eingabeaufforderung. Über die Befehle Bootrec /RebuildBcd, Bootrec /fixMbr und Bootrec /fixboot wird der Master Boot Record wiederhergestellt, eine Verschlüsselung der Daten findet dann nicht mehr statt.

Verwandt

Dieses Video empfehlen

Kommentieren22

Tags:

Jetzt einen Kommentar schreiben

[o1] am ++3 --1

Ach Menno! Jetzt wollte ich mir endlich mal eine Website des sagenumwobenen "Darknet (TM)" ansehen, und dann funktionieren die Adressen aus dem Screenshot noch nicht mal...

[re:1] am ++--

@DON666: doch.

[re:1] am ++--

@Druidialkonsulvenz: Also ich krieg nen 404er...

[re:1] am ++--

@DON666:
1. hast du dich unklar ausgedrückt, ein 404 ist immerhin schon mal ein server response
2. ich sehe eine captcha-Abfrage, auch das /BibXga mit eintippen, dass nur die Hauptadresse einen 404er ausspuckt, ist bei derartigen Seiten doch vorhersehbar und logisch.

[re:1] am ++--

@Druidialkonsulvenz: Ich habe natürlich die komplette Adresse eingegeben (sogar beide), und mit "404er" meinte ich einfach nur einen "Seite kann nicht gefunden werden"...

[re:2] am ++--

@DON666: Hattest Du das mit dem Tor Browser getestet? Ohne das der ganze Kram da im Hintergrund läuft, wird das nichts. Einfach nur mit einem normalen Browser geht das nicht.

[re:3] am ++--

@DK2000: Danke für die erhellende Antwort! Nee, ich hatte die URL natürlich stinknormal in den Browser gehackt... War mir nicht klar, dass der Tor-Browser zwingend ist, um die Seite überhaupt zu sehen. Wieder was gelernt!

Bearbeitet am 01.04.16 um 12:26 Uhr.

[re:5] am ++--

@DON666: zwingend ist er nicht. Ich nutze tor als Dienst und FoxyProxy in Pale Moon.

[o2] am ++1 --1

Das Fazit daraus: Wer schnell und richtig reagiert, kann Daten retten und das System (ua MBR) reparieren.

[re:1] am ++9 --

@AlexKeller: Wer richtig und vernünftig handelt kommt gar nicht erst in die Notwendigkeit, sowas tun zu müssen ;)

[re:1] am ++3 --

@dodnet: wie? mit offline arbeiten? So viel ich weiss geht alles durch jeden Spamfilter, Firewall, Standard GPO... und dazu kommt, bis jetzt erkennt es kein Virenschutz.

... sicher, man könnte alles abschotten, aber dann wäre in einem Unternehmen fast die ganz tägliche Kommunikation gegen aussen nicht mehr vorhanden, geschweige würde es einen Aufstand der Mitarbeiter geben.

Man muss verständlicherweise einen Teil offen lassen, sonst geht nichts mehr in der heutigen vernetzten Wirtschaft.

Würde es ein leicht umsetzbares Mittel geben, welches noch kostengünstig wäre, dann hätten wir alle diese Meldungen in den IT News nicht

Bearbeitet am 31.03.16 um 13:21 Uhr.

[re:1] am ++2 --

@AlexKeller: Ich wusste noch gar nicht, dass das automatisch anfängt zu verschlüsseln, nur wenn man es per Mail bekommt... wieder was gelernt...

[re:1] am ++5 --

@dodnet: Ich weiss, die Leute darauf sensibilisieren, ABER bei einem mittelgrossen Unternehmen ist dies "leider" nicht so einfach, da gibt es immer mal wieder ein DAU zu viel (wir sagen oft, 10% davon, und bei einem grossen Unternehmen sind 10% viele Leute)

Bearbeitet am 31.03.16 um 13:52 Uhr.

[re:2] am ++2 --

@AlexKeller: So ist es. Bei uns rennen so an die 300 Leute rum, die übers Firmennetzwerk aufs Web zugreifen können/dürfen. Ich warte quasi nur auf den Moment, in dem es uns erwischt. Da kannst du fast nichts machen, außer zu beten. Ist ja schließlich auch nicht so, dass wir hier in der IT da irgendwas zu entscheiden hätten, denn da sind immer noch Organe wie z. B. der Betriebsrat davor, die das "Internet-Recht für alle" bei der Geschäftsleitung durchgeboxt haben und auch so belassen wollen. Abgesehen davon hängt mittlerweile auch viel zu viel da dran, was man schon längst nicht mehr einfach so kappen könnte, selbst wenn man wollte.

[re:3] am ++2 --

@DON666: Wir haben mit unseren Kunden (alles Firmen mit 50 bis 1500 Mitarbeitern) fast wöchentlich mit irgendeinem Verschlüsselungstrojaner zu tun. Trotz regelmäßiger Information von unserer Seite, passiert es immer wieder. Man muss aber auch sagen, das die E-Mails immer besser und gezielter werden. Korrekte Rechtschreibung/Grammatik, Personen werden korrekt mit Namen angeschrieben, Inhalt passt zum Unternehmen, etc.

[o3] am ++2 --1

Nur nochmal zur Überprüfung: Wer also UEFI-basierte Systeme (ob nun mit oder ohne Secure Boot sei jetzt mal dahingestellt) einsetzt und dementsprechend eine GPT verwendet, brauch sich keine Sorgen um Petya machen?

[re:1] am ++1 --

@Sy: Warum? UEFI ist ein ganz normales Bios, nur grafisch und mit Mausunterstützung. Der MBR ist auf der Festplatte und wird vom Bios geladen, sobald es darin die Info findet "lade mich".
Interessant wäre nun, wie sich Petya bei GPT-Platten verhält...

[re:1] am ++3 --

@Mitsch79: Da würde nichts passieren, da ein System, welches im UEFI Mode installiert ist, keinen MBR verwendet. Das UEFI selber ist auch nicht mit dem 'alten' BIOS zu vergleichen. Hier läuft alles anders ab. Nur wenn der Legacy Mode (aka BIOS Mode) über das CSM aktiviert ist und das System im Legacy Modus installiert ist, wird der MBR verwendet.

[re:2] am ++--

@Mitsch79: Du hattest meinen Kommentar auch gelesen? Es ging ja gerade darum, dass im UEFI Mode regulär GPT-Partitionierung zum Einsatz kommt.

[re:1] am ++--

@Sy: Ja, aber den "UEFI-Mode" gibt es nicht. Du hast entweder ein System mit UEFI oder eines mit BIOS. Letzteres kann nur von MBR-Platten booten, ersteres zusätzlich auch von GPT-Platten. Ein UEFI-System bootet aber auch ohne Probleme von einer MBR-Platte. Dafür musst du nichts einstellen.

UEFI bedingt nicht GPT, aber GPT bedingt UEFI. Daher die Frage ;)

[re:1] am ++1 --

@Mitsch79: Nicht ganz. Den 'UEFI-Mode' gibt es schon. Er unterscheidet sich grundlegend zum 'BIOS-Mode' in der Art, wie das installierte System gebootet wird. Letzterer ist auch nur eine optionale Komponente innerhalb des CSM. Die meisten Geräte/Boards haben den integriert und er steht auf Automatik, so das man sowohl im UEFI- als auch im BIOS-Mode booten kann (je nach dem, was vorgefunden wird; bei beiden Möglichkeiten teilweise UEFI first). Gibt aber auch viele Geräte, welche kein CSM mehr haben (hier ist booten von MBR unmöglich) bzw. es ist deaktiviert oder auf 'UEFI-Boot' eingestellt. Hier muss man dann manuell eingreifen und die Bootmodus ändern.