Petya: Erpresserschädling verschlüsselt ganze Festplatte Petya: Erpresserschädling verschlüsselt ganze Festplatte - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


25.03.2016 Frank Ziemann*

Petya: Erpresserschädling verschlüsselt ganze Festplatte

Die neu entdeckte Ransomware Petya verschlüsselt gleich komplette Festplatten. Sie wird per Mail mit Dropbox-Link verbreitet und zielt offenbar auf Unternehmen. Der Schädling manipuliert den Bootsektor.

Petya Ransomware

Petya Ransomware

© Screenshot G DATA

Die bislang bekannten Erpresserschädlinge (Ransomware) wie Locky verschlüsseln Dateien auf der Festplatte, zum Teil auch auf externen Speichermedien und Netzlaufwerken. Der Bochumer Antivirushersteller G Data berichtet nun über die Entdeckung eines neuen Schädlings, der scheinbar gleich die ganze Festplatte verschlüsselt. "Petya" wird auch im deutschen Sprachraum verbreitet.

Wie die G DATA SecurityLabs in ihrem Blog melden, wird Petya ("Win32.Trojan-Ransom.Petya.A") etwa mit Mails verteilt, die einen Download-Link zu Dropbox enthalten. Bei dem aufgeführten Beispiel handelt es sich um eine vermeintliche Bewerbungs-Mail, die sich an die Personalabteilung einer Firma richtet. Ein Klick auf den Link zur vorgeblichen Bewerbungsmappe befördert den Schädling als "Bewerbungsmappe-gepackt.exe" auf die Festplatte.

Wird diese Datei geöffnet, also ausgeführt, stürzt der PC mit einem Bluescreen ab und startet neu. Doch zuvor hat der Schädling noch den Bootsektor der Festplatte (MBR, Master Boot Record) manipuliert. So kann Petya den Startvorgang kontrollieren. Es erscheint zunächst ein schwarzer Textbildschirm, der den Eindruck erwecken soll, das Programm CHKDSK prüfe die Festplatte. Danach erscheint ein weiterer Textbildschirm, diesmal mit rotem Hintergrund. Er zeigt einen aus ASCII-Zeichen aufgebauten Totenkopf.

Auf dem nächsten Bildschirm folgt dann die Auflösung: der Rechner ist mit Petya infiziert. Angeblich wurde die Festplatte mit einem Verschlüsselungsalgorithmus militärischer Stärke verschlüsselt. Der Erpresserschädling fordert ein Lösegeld, das sich nach sieben Tagen verdoppeln soll. G Data geht derzeit davon aus, dass die Festplatte nicht verschlüsselt, sondern lediglich das Dateisystem durch Manipulationen am Startbereich unzugänglich wird.

Die Analyse der Ransomware Petya ist noch nicht abgeschlossen. Die laufenden Untersuchungen müssen erweisen, ob die Manipulationen durch den Schädling rückgängig gemacht werden können, ohne den Kriminellen das geforderte Lösegeld zahlen zu müssen. Sie sollten sich in jedem Fall durch regelmäßige Backups vor unliebsamen Überraschungen wie Ransomware schützen.

* Frank Ziemann ist Redakteur der PC-Welt.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • free-com solutions gmbh

    free-com solutions gmbh Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • Fabasoft AG

    Fabasoft AG Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Luft- und Raumfahrttechnik, Freie Berufe, Finanzdienstleistungen, Qualitätssicherung,... mehr
  • ITSDONE GRUPPE

    ITSDONE GRUPPE Office Software, Kaufmännische Software (ERP), Datenbanken, Server-Betriebssysteme, Programmiersprachen, Betriebssysteme für PCs, Netzwerk- und Systemüberwachung,... mehr
  • SER Solutions Österreich GmbH

    SER Solutions Österreich GmbH Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr

Hosted by:    Security Monitoring by: