Eine Bewerbung per E-Mail mit Download-Link auf Dropbox enthält ein neue Ransomware: Nach Angaben von G Data verschlüsselt Petya erstmals Festplatten und nicht nur einzelne Dateien.
Als erste Ransomware verschlüsselt Petya Festplatten und unterscheidet sich damit von Ransomware wie Locky, CryptoWall oder TeslaCrypt, die einzelne Dateien verschlüsseln, um von Nutzern Lösegeld zu erpressen. Dabei schicken Hacker an die Personalabteilungen von Unternehmen eine Bewerbung per E-Mail. Sie enthält einen Link, der auf eine bei Dropbox hinterlegte Datei führt.
Wer dem Link folgt und die Datei „Bewerbungsmappe-gepackt.exe“ anklickt, erlebt, dass der Rechner mit einem BlueScreen abstürzt und neu bootet. Davor wird der MBR so manipuliert, dass Petya die Kontrolle über den Bootvorgang übernimmt. Anschließ0end wird das System dann angeblich geprüft. In Wahrheit werden die Dateien auf der Festplatte unzugänglich gemacht. Publik gemacht hat die Schadsoftware der IT-Sicherheitsanbieter G Data.
Der Antivirenhersteller geht momentan davon aus, dass die Dateien selbst nicht verschlüsselt werden, sondern nur der Zugang zu den Dateien unterbunden wird. Wenn die vermeintlichen Prüfungen abgeschlossen sind, kann man dann festzustellen, dass man offenbar einen Fehler gemacht hat.
Nach einem Tastendruck bekommt man weitere Anweisungen. Um die Spuren zu verwischen missbrauchen die Angreifer TOR. Auf der dazugehörigen Webseite wird behauptet, dass die Festplatte mit einem Algorithmus verschlüsselt wurde, der auch militärischen Ansprüchen gerecht wird. In weiteren Schritten kann man einen Schlüssel für seine Daten erwerben. Nach sieben Tagen verdoppelt sich der Preis.
Ob die Daten tatsächlich verloren sind, ist noch unklar. Die Experten der G Data SecurityLabs arbeiten weiter an der Analyse dieser neuartigen Ransomware. Entsprechende Schutzmaßnahmen wie Erkennung der Dateien (unsere Erkennung heißt „Win32.Trojan-Ransom.Petya.A“), Blockieren der URLs wurden getroffen. Ein aktueller Virenschutz hilft also.
G Data empfiehlt folgende Schutzmaßnahmen:
- Vorbeugen: Es ist wichtig, funktionsfähige Backups zu haben
- Wer aufmerksam ist, bemerkt spätestens in der Dropbox, dass es sich um einen ausführbare Datei mit der Dateiendung „.exe“ handelt und bricht die Bearbeitung der Bewerbung ab.
- Falls es doch passiert ist, nehmen Sie den Rechner vom Netz. Der Rechner sollte aber nicht voreilig verloren gegeben werden. Noch ist unklar, ob sich die Daten auf der Festplatte nicht doch noch retten lassen. Wir werden hier berichten, sobald unsere Analysen darüber Klarheit liefern.
- Sie sollten keinesfalls das Lösegeld zahlen
Günstiger Anti-Virenschutz für PC, Tablet und Smartphone gibt es hier zum sofortigen Einsatz.
