Petya – und was jetzt?

Ransomware

(AKTUALISIERT!) Wieder rast ein Verschlüsselungs-Trojaner durch das Land: Petya. Getarnt als Bewerbungsunterlagen verbreitet sich der Trojaner gerade sehr schnell. Noch gibt es keine Möglichkeit die Daten wieder zu entschlüsseln – es muss aber erst gar nicht so weit kommen. 

Wie auf mehreren Plattformen berichtet wird, ist die Gefährdung durch Petya gerade sehr groß. Viele Antivirensoftware-Hersteller wie z.B.
G DATA arbeiten fieberhaft daran, den Schädling aus zu sperren.

Da ein Entschlüsseln der Dateien, die durch Petya verschlüsselt wurden (noch) nicht möglich ist, ist es extrem wichtig bei Befall durch die Ransomware richtig zu reagieren. Oberstes Gebot nach der Infektion ist:

JA NICHT NEUSTARTEN! Petya schlägt zu.

Durch den Neustart gelangt der Trojaner in die wirklich gefährliche Phase in der die Dateien hart verschlüsselt werden. Ein System, welches nicht neu gestartet wird und deren Festplatte man evtl. in einen anderen Rechner einbauen kann oder welches mittels Rescue-CD gestartet wird, kann unter Umständen gerettet werden.

Petya

Der Trojaner arbeitet in 2 Schritten: Im ersten erzeugt er einen Schlüssel und verändert den MBR (Master Boot Record). Anschließend wird ein Bluescreen erzeugt.
Nach dem Neustart des Rechners fängt Petya dann an, die Dateien auf der Festplatte zu verschlüsseln. Hier wird ein gefälschter CHKDSK-Vorgang angezeigt.
Den Neustart gilt es zu verhindern. Ob das Ausschalten des Rechners zu Beginn der CHKDSK-Phase etwas bringt ist noch nicht bekannt.

Petya hat zugeschlagen und informiert den Benutzer
Petya hat zugeschlagen und informiert den Benutzer

Ich empfehle auf jeden Fall, sich über den Trojaner zu informieren um bei Befall gewappnet zu sein und richtig reagieren zu können.

Zwei gute Artikel zum Thema finden sich auf der Heise-Seite:
http://www.heise.de/security/meldung/Erpressungs-Trojaner-Petya-Neue-Infektionswelle-rollt-an-Verschluesselung-bisher-nicht-knackbar-3160177.html

http://www.heise.de/security/meldung/Petya-Den-Erpressungs-Trojaner-stoppen-bevor-er-die-Festplatten-verschluesselt-3153388.html

Video mit Demonstration von Petya:
https://www.youtube.com/watch?v=zOSI08mnfzM

Ich bin mal gespannt, wie es mit dem Thema weiter geht und werde auch weiter berichten.

Bis dahin schöne Grüße, Frank


Aktualisierung (11.0.2016): Der Heise Verlag hat heute auf seiner Homepage darüber berichtet, dass es erste Möglichkeiten gibt, auch ohne Lösegeld die Daten zu entschlüsseln! Hier geht es zum Artikel:
http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Petya-geknackt-Passwort-Generator-veroeffentlicht-3167064.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte folgende kleine Aufgabe lösen: * Time limit is exhausted. Please reload CAPTCHA.