Ransomware Petya vernichtet Ihre Festplatten

30 Mrz 2016

Es sieht ganz so aus, als sollte das Jahr 2016 als Jahr der Ransomware deklariert werden, da neue Familien und neue Versionen geradezu wie Pilze aus dem Boden schießen.

Ransomware entwickelt sich mit Hochgeschwindigkeit weiter. Neuere Ransomware-Versionen verwenden starke, asymmetrische Codierung mit langen Verschlüsselungscodes, ohne die die Dateien nicht wieder entschlüsselt werden können. Kriminelle sind dazu übergegangen, TOR zu verwenden und Bitcoin-Zahlungen zu nutzen, um anonym zu bleiben. Und jetzt gibt es die Ransomware Petya, die in gewisser Weise die komplette Festplatte auf einmal verschlüsselt, anstatt jede Datei einzeln zu codieren.

petya-ransomware-featured-3

So schlägt Petya zu

Petya gehört zu einer Ransomware-Art, die vorwiegend geschäftliche Nutzer angreift, da sie über Spam-Mails verbreitet wird, die vermeintlich Stellenbewerbungen enthalten. Das typische Infektionsszenario sieht wie folgt aus: ein Mitarbeiter aus der Personalabteilung erhält eine E-Mail von einem Bewerber, der vorgibt, an einer Stelle im Unternehmen interessiert zu sein. Diese E-Mail enthält einen Dropbox-Link zu einer Datei, bei der es sich vermeintlich um den Lebenslauf handelt und die tatsächlich eine exe-Datei ist.

Der Mitarbeiter klickt auf die Datei, erhält aber nicht den erwarteten Lebenslauf. Stattdessen wird ihm eine Bluescreen-Fehlermeldung angezeigt. Das heißt so viel wie dass Petya sich einen Weg in den PC des Nutzers gebahnt und seine verdeckte Arbeit aufgenommen hat.

Ihre Festplatte gehört uns

Herkömmliche Ransomware verschlüsselt üblicherweise Dateien eines bestimmten Typs — Bilder, Microsoft-Office-Dokumente und so weiter — und belässt das Betriebssystem unbeschadet, damit das Opfer den PC zur Zahlung des Lösegeldes verwenden kann. Petya geht dagegen wesentlich brutaler vor und verwehrt den Zugriff auf das komplette Betriebssystem.

Kurz zusammengefasst: unabhängig davon, wie Ihre Festplatte organisiert ist und ob sie über eine oder mehrere Partitionen verfügt, gibt es immer einen Teil der Festplatte, der für Sie nicht sichtbar ist und der Master Boot Record (MBR) genannt wird. Dieser umfasst alle Daten über Anzahl und Organisation der Partitionen und enthält darüber hinaus einen speziellen Code — Bootloader genannt — der zum Booten des Betriebssystems verwendet wird.

Dieser Bootloader wird immer vor dem Betriebssystem gestartet. Und hier genau setzt die Infektion durch Petya an: die Ransomware modifiziert den Bootloader, so dass dieser anstelle des Betriebssystems des Computers den Schadcode Petya lädt.

Für den Nutzer sieht es so aus, als würde die Festplatte überprüft werden, was nach einem Systemcrash nicht weiter verwunderlich wäre. Tatsächlich verschlüsselt Petya in diesem Moment allerdings die Master File Table. Das ist ein weiterer versteckter Teil Ihrer Festplatte. Diese Tabelle enthält alle Informationen darüber, wie Dateien und Ordner zugeordnet werden.

Stellen Sie sich Ihre Festplatte wie eine riesige Bibliothek vor, die Millionen oder gar Milliarden Elemente enthält. Und die Master File Table ist die Bibliotheksdatenbank. Nun gut, diese Erklärung ist stark vereinfacht — machen wir es etwas realistischer: auf Ihrer Festplatte sind „Bücher“ so gut wie nie als separate Objekte gespeichert, sondern vielmehr als einzelne Seiten oder gar Papierschnipsel. Haufenweise. Allerdings nicht in einer speziellen Reihenfolge, sondern mehr oder weniger zufällig.

Vielleicht können Sie sich jetzt in etwa vorstellen, wie schwierig es wäre, ein einzelnes „Buch“ zu finden, wenn jemand Ihre Bibliotheksdatenbank gestohlen hätte. Und das ist genau das, was die Ransomware Petya tut.

Ist dies erst einmal erledigt, enthüllt Petya ihr wahres Gesicht, das wie ein Totenschädel bestehend aus ASCII-Symbolen aussieht. Dann beginnt die übliche Prozedur: die Malware verlangt vom Nutzer eine Lösegeldzahlung (0,9 Bitcoins, was in etwa 330 EUR entspricht), sofern dieser die Festplatte entschlüsselt und seine Daten zurückhaben möchte.

Der einzige Unterschied zu einer anderen Ransomware besteht darin, dass Petya nach dem Download komplett offline agiert, was nur logisch ist, da sie das komplette Betriebssystem „zerstört“. Folglich muss der Nutzer einen anderen Computer ausfindig machen, um die Lösegeldzahlung zu tätigen und seine Daten zurückzuerhalten.

Der Kampf gegen Petya

Leider ist es Forschern sowohl was Petya als auch was andere neue Ransomware-Arten betrifft noch nicht gelungen, durch Petya verschlüsselte Informationen wieder zu entschlüsseln. Nichtsdestotrotz gibt es immer noch ein paar Dinge, die Sie unternehmen können, um sich und Ihre Daten zu schützen, sowie eine gute Neuigkeit, was die Distribution von Petya betrifft.

Die gute Neuigkeit ist, dass Dropbox die bösartige Petya-Datei von seinem Cloud-Speicher entfernt hat. Kriminelle müssen nun also neue Wege suchen, um Petya zu verbreiten. Die schlechte Nachricht ist, dass sie wahrscheinlich nicht lange dafür brauchen werden.

Was also können Sie tun, um sich zu schützen?

  1. Wenn ein Nutzer eine Bluescreen-Fehlermeldung sieht, ist es noch nicht zu spät: seine Daten sind noch nicht verloren, da Petya noch nicht damit begonnen hat, die Master File Table zu verschlüsseln. Wenn Sie also sehen, dass Ihr Computer eine Bluescreen-Fehlermeldung anzeigt, neu startet und die Festplatte überprüft — fahren Sie den PC sofort herunter. An diesem Punkt können Sie noch die Festplatte entfernen, sie mit einem anderen Computer verbinden (— verwenden Sie diese allerdings nicht als Boot-Gerät! —) und alle Ihre Daten wiederherstellen.
  1. Petya verschlüsselt nur die Master File Table, ohne dabei die Dateien selbst zu beschädigen. Ihre Daten können von Experten also immer noch wiederhergestellt werden. Dieses Verfahren ist komplex und zeitaufwendig sowie äußerst kostspielig; prinzipiell ist es aber möglich Ihre Daten wiederherzustellen. Versuchen Sie dies allerdings nicht zuhause — ein einziger Fehler kann zum Verlust all Ihrer Daten führen.
  1. Die beste Möglichkeit besteht darin, sich proaktiv mit einer guten Sicherheitslösung zu schützen. Kaspersky Internet Security sorgt dafür, dass Spam-Mails gar nicht erst durchgelassen werden, so dass Sie eine E-Mail mit einem entsprechenden Petya-Link gar nicht erst sehen. Und selbst wenn es Petya dennoch gelingen sollte, sich auf irgendeine Weise einzuschleichen, würde die Ransomware als Trojan-Ransom.Win32.Petr erkannt werden und Kaspersky Internet Security würde alle Aktivitäten der Malware blocken. Das gleiche gilt auch für alle anderen unserer Antivirenlösungen.