{"id":7375,"date":"2016-03-30T15:44:44","date_gmt":"2016-03-30T15:44:44","guid":{"rendered":"https:\/\/kasperskydaily.com\/germany\/?p=7375"},"modified":"2020-02-26T18:42:36","modified_gmt":"2020-02-26T16:42:36","slug":"petya-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/petya-ransomware\/7375\/","title":{"rendered":"Ransomware Petya vernichtet Ihre Festplatten"},"content":{"rendered":"<p>Es sieht ganz so aus, als sollte das Jahr 2016 als Jahr der Ransomware deklariert werden, da neue Familien und neue Versionen geradezu wie Pilze aus dem Boden schie\u00dfen.<\/p>\n<p>Ransomware entwickelt sich mit Hochgeschwindigkeit weiter. Neuere Ransomware-Versionen verwenden starke, asymmetrische Codierung mit langen Verschl\u00fcsselungscodes, ohne die die Dateien nicht wieder entschl\u00fcsselt werden k\u00f6nnen. Kriminelle sind dazu \u00fcbergegangen, TOR zu verwenden und Bitcoin-Zahlungen zu nutzen, um anonym zu bleiben. Und jetzt gibt es die Ransomware Petya, die in gewisser Weise die komplette Festplatte auf einmal verschl\u00fcsselt, anstatt jede Datei einzeln zu codieren.<\/p>\n<h3><strong>So schl\u00e4gt Petya zu<\/strong><\/h3>\n<p>Petya geh\u00f6rt zu einer Ransomware-Art, die vorwiegend gesch\u00e4ftliche Nutzer angreift, da sie \u00fcber Spam-Mails verbreitet wird, die vermeintlich Stellenbewerbungen enthalten. Das typische Infektionsszenario sieht wie folgt aus: ein Mitarbeiter aus der Personalabteilung erh\u00e4lt eine E-Mail von einem Bewerber, der vorgibt, an einer Stelle im Unternehmen interessiert zu sein. Diese E-Mail enth\u00e4lt einen Dropbox-Link zu einer Datei, bei der es sich vermeintlich um den Lebenslauf handelt und die tats\u00e4chlich eine exe-Datei ist.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Petya <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ransomware<\/a> encrypts master file table via <a href=\"https:\/\/twitter.com\/threatpost?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@threatpost<\/a> <a href=\"https:\/\/t.co\/kCpbUcT1kV\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/kCpbUcT1kV<\/a> <a href=\"https:\/\/t.co\/9e6YjTkEVV\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/9e6YjTkEVV<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/714547644492824576?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">March 28, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Der Mitarbeiter klickt auf die Datei, erh\u00e4lt aber nicht den erwarteten Lebenslauf. Stattdessen wird ihm eine <a href=\"https:\/\/de.wikipedia.org\/wiki\/Blue_Screen_(Fehlermeldung)\" target=\"_blank\" rel=\"noopener nofollow\">Bluescreen-Fehlermeldung<\/a> angezeigt. Das hei\u00dft so viel wie dass Petya sich einen Weg in den PC des Nutzers gebahnt und seine verdeckte Arbeit aufgenommen hat.<\/p>\n<h3><strong>Ihre Festplatte geh\u00f6rt uns<\/strong><\/h3>\n<p>Herk\u00f6mmliche Ransomware verschl\u00fcsselt \u00fcblicherweise Dateien eines bestimmten Typs \u2014 Bilder, Microsoft-Office-Dokumente und so weiter \u2014 und bel\u00e4sst das Betriebssystem unbeschadet, damit das Opfer den PC zur Zahlung des L\u00f6segeldes verwenden kann. Petya geht dagegen wesentlich brutaler vor und verwehrt den Zugriff auf das komplette Betriebssystem.<\/p>\n<p>Kurz zusammengefasst: unabh\u00e4ngig davon, wie Ihre Festplatte organisiert ist und ob sie \u00fcber eine oder mehrere Partitionen verf\u00fcgt, gibt es immer einen Teil der Festplatte, der f\u00fcr Sie nicht sichtbar ist und der <a href=\"https:\/\/de.wikipedia.org\/wiki\/Master_Boot_Record\" target=\"_blank\" rel=\"noopener nofollow\">Master Boot Record<\/a> (MBR) genannt wird. Dieser umfasst alle Daten \u00fcber Anzahl und Organisation der Partitionen und enth\u00e4lt dar\u00fcber hinaus einen speziellen Code \u2014 Bootloader genannt \u2014 der zum Booten des Betriebssystems verwendet wird.<\/p>\n<p>Dieser Bootloader wird immer <em>vor<\/em> dem Betriebssystem gestartet. Und hier genau setzt die Infektion durch Petya an: die Ransomware modifiziert den Bootloader, so dass dieser anstelle des Betriebssystems des Computers den Schadcode Petya l\u00e4dt.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Researchers Learning More About <a href=\"https:\/\/twitter.com\/hashtag\/Petya?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Petya<\/a> Ransomware: <a href=\"https:\/\/t.co\/WwOQ1mEsRb\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/WwOQ1mEsRb<\/a> <a href=\"https:\/\/t.co\/O4TaS593ta\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/O4TaS593ta<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/714911391795322880?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">March 29, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>F\u00fcr den Nutzer sieht es so aus, als w\u00fcrde die Festplatte \u00fcberpr\u00fcft werden, was nach einem Systemcrash nicht weiter verwunderlich w\u00e4re. Tats\u00e4chlich verschl\u00fcsselt Petya in diesem Moment allerdings die <a href=\"https:\/\/de.wikipedia.org\/wiki\/NTFS#Master_File_Table\" target=\"_blank\" rel=\"noopener nofollow\">Master File Table<\/a>. Das ist ein weiterer versteckter Teil Ihrer Festplatte. Diese Tabelle enth\u00e4lt alle Informationen dar\u00fcber, wie Dateien und Ordner zugeordnet werden.<\/p>\n<p>Stellen Sie sich Ihre Festplatte wie eine riesige Bibliothek vor, die Millionen oder gar Milliarden Elemente enth\u00e4lt. Und die Master File Table ist die Bibliotheksdatenbank. Nun gut, diese Erkl\u00e4rung ist stark vereinfacht \u2014 machen wir es etwas realistischer: auf Ihrer Festplatte sind \u201eB\u00fccher\u201c so gut wie nie als separate Objekte gespeichert, sondern vielmehr als einzelne Seiten oder gar Papierschnipsel. Haufenweise. Allerdings nicht in einer speziellen Reihenfolge, sondern mehr oder weniger zuf\u00e4llig.<\/p>\n<p>Vielleicht k\u00f6nnen Sie sich jetzt in etwa vorstellen, wie schwierig es w\u00e4re, ein einzelnes \u201eBuch\u201c zu finden, wenn jemand Ihre Bibliotheksdatenbank gestohlen h\u00e4tte. Und das ist genau das, was die Ransomware Petya tut.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/yfCt35RTR-U?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>Ist dies erst einmal erledigt, enth\u00fcllt Petya ihr wahres Gesicht, das wie ein Totensch\u00e4del bestehend aus ASCII-Symbolen aussieht. Dann beginnt die \u00fcbliche Prozedur: die Malware verlangt vom Nutzer eine L\u00f6segeldzahlung (0,9 Bitcoins, was in etwa 330 EUR entspricht), sofern dieser die Festplatte entschl\u00fcsselt und seine Daten zur\u00fcckhaben m\u00f6chte.<\/p>\n<p>Der einzige Unterschied zu einer anderen Ransomware besteht darin, dass Petya nach dem Download komplett offline agiert, was nur logisch ist, da sie das komplette Betriebssystem \u201ezerst\u00f6rt\u201c. Folglich muss der Nutzer einen anderen Computer ausfindig machen, um die L\u00f6segeldzahlung zu t\u00e4tigen und seine Daten zur\u00fcckzuerhalten.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Let's talk <a href=\"https:\/\/twitter.com\/hashtag\/Ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Ransomware<\/a>. Would you pay the <a href=\"https:\/\/twitter.com\/hashtag\/hackers?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#hackers<\/a> ransom?<\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/714874484910632960?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">March 29, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<h3><strong>Der Kampf gegen Petya<\/strong><\/h3>\n<p>Leider ist es Forschern sowohl was Petya als auch was andere neue Ransomware-Arten betrifft noch nicht gelungen, durch Petya verschl\u00fcsselte Informationen wieder zu entschl\u00fcsseln. Nichtsdestotrotz gibt es immer noch ein paar Dinge, die Sie unternehmen k\u00f6nnen, um sich und Ihre Daten zu sch\u00fctzen, sowie eine gute Neuigkeit, was die Distribution von Petya betrifft.<\/p>\n<p>Die gute Neuigkeit ist, dass Dropbox die b\u00f6sartige Petya-Datei von seinem Cloud-Speicher entfernt hat. Kriminelle m\u00fcssen nun also neue Wege suchen, um Petya zu verbreiten. Die schlechte Nachricht ist, dass sie wahrscheinlich nicht lange daf\u00fcr brauchen werden.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">10 tips to protect your files from ransomware <a href=\"https:\/\/t.co\/o0IpUU9CHb\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/o0IpUU9CHb<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/iteducation?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#iteducation<\/a> <a href=\"https:\/\/t.co\/I47sPIiWFF\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/I47sPIiWFF<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/671348678607642624?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 30, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Was also k\u00f6nnen Sie tun, um sich zu sch\u00fctzen?<\/p>\n<ol>\n<li>Wenn ein Nutzer eine Bluescreen-Fehlermeldung sieht, ist es noch nicht zu sp\u00e4t: seine Daten sind noch nicht verloren, da Petya noch nicht damit begonnen hat, die Master File Table zu verschl\u00fcsseln. Wenn Sie also sehen, dass Ihr Computer eine Bluescreen-Fehlermeldung anzeigt, neu startet und die Festplatte \u00fcberpr\u00fcft \u2014 fahren Sie den PC sofort herunter. An diesem Punkt k\u00f6nnen Sie noch die Festplatte entfernen, sie mit einem anderen Computer verbinden (\u2014 verwenden Sie diese allerdings nicht als Boot-Ger\u00e4t! \u2014) und alle Ihre Daten wiederherstellen.<\/li>\n<\/ol>\n<ol start=\"2\">\n<li>Petya verschl\u00fcsselt nur die Master File Table, ohne dabei die Dateien selbst zu besch\u00e4digen. Ihre Daten k\u00f6nnen von Experten also immer noch wiederhergestellt werden. Dieses Verfahren ist komplex und zeitaufwendig sowie \u00e4u\u00dferst kostspielig; prinzipiell ist es aber m\u00f6glich Ihre Daten wiederherzustellen. Versuchen Sie dies allerdings nicht zuhause \u2014 ein einziger Fehler kann zum Verlust all Ihrer Daten f\u00fchren.<\/li>\n<\/ol>\n<ol start=\"3\">\n<li>Die beste M\u00f6glichkeit besteht darin, sich proaktiv mit einer guten Sicherheitsl\u00f6sung zu sch\u00fctzen. <a href=\"https:\/\/www.kaspersky.com\/de\/multi-device-security?redef=1&amp;reseller=gl_KDpost_pro_ona_smm__onl_b2c_kasperskydaily_lnk____kismd___&amp;_ga=1.224579103.468992270.1457000469\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Internet Security<\/a> sorgt daf\u00fcr, dass Spam-Mails gar nicht erst durchgelassen werden, so dass Sie eine E-Mail mit einem entsprechenden Petya-Link gar nicht erst sehen. Und selbst wenn es Petya dennoch gelingen sollte, sich auf irgendeine Weise einzuschleichen, w\u00fcrde die Ransomware als Trojan-Ransom.Win32.Petr erkannt werden und Kaspersky Internet Security w\u00fcrde alle Aktivit\u00e4ten der Malware blocken. Das gleiche gilt auch f\u00fcr alle anderen unserer Antivirenl\u00f6sungen.<\/li>\n<\/ol>\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Cryptolocker war schlimm, CTB-Locker noch schlimmer und die neue Ransomware Petya ist ein wahrhaftiges Desaster. <\/p>\n","protected":false},"author":696,"featured_media":7379,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6],"tags":[1971,1973,1969,1972,535,1970],"class_list":{"0":"post-7375","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-jahr-der-ransomware","10":"tag-krankenhaus-ransomware","11":"tag-petya","12":"tag-petya-ransomware","13":"tag-ransomware","14":"tag-was-ist-ransomware"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/petya-ransomware\/7375\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/petya-ransomware\/5388\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/petya-ransomware\/3772\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/petya-ransomware\/6941\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/petya-ransomware\/6956\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/petya-ransomware\/6915\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/petya-ransomware\/8044\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/petya-ransomware\/7827\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/petya-ransomware\/11447\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/petya-ransomware\/11715\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/petya-ransomware\/5481\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/petya-ransomware\/10875\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/petya-ransomware\/11447\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/petya-ransomware\/11715\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/petya-ransomware\/11715\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/jahr-der-ransomware\/","name":"Jahr der Ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/7375","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/696"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=7375"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/7375\/revisions"}],"predecessor-version":[{"id":23044,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/7375\/revisions\/23044"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/7379"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=7375"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=7375"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=7375"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}