{"id":7703,"date":"2016-05-18T11:17:14","date_gmt":"2016-05-18T11:17:14","guid":{"rendered":"https:\/\/kasperskydaily.com\/germany\/?p=7703"},"modified":"2020-02-26T18:43:18","modified_gmt":"2020-02-26T16:43:18","slug":"mischa-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/mischa-ransomware\/7703\/","title":{"rendered":"Mischa: Eine Freundin f\u00fcr Petya und eine weitere Ransomware f\u00fcr die Welt"},"content":{"rendered":"<p>Petya und Mischa sind Freundinnen. F\u00fcr gew\u00f6hnlich unternehmen sie alles gemeinsam \u2026 \u2014 Moment! Das ist kein \u201eRussisch f\u00fcr Anf\u00e4nger\u201c, sondern der Kaspersky-Daily-Blog. Bei Petya und Mischa handelt es sich um Ransomware und sie werden gemeinsam als Package an den Nutzer geliefert.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2016\/05\/06134040\/mischa-ransomware-fb-1024x1024.png\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-12137\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2016\/05\/06134040\/mischa-ransomware-fb-1024x1024.png\" alt=\"Mischa ransomware: Petya's accomplice\" width=\"1280\" height=\"1280\"><\/a><\/p>\n<p>Wenn Sie ein regelm\u00e4\u00dfiger Besucher unseres Blogs sind oder die aktuellen Cybernachrichten verfolgen, werden Sie wahrscheinlich wissen, was Petya ist. Wir haben der Ransomware zwei eigene Blogbeitr\u00e4ge gewidmet, da der Twitter-User <a href=\"https:\/\/twitter.com\/leo_and_stone\" target=\"_blank\" rel=\"noopener nofollow\">@leo_and_stone<\/a> ein paar Wochen nachdem <a href=\"https:\/\/www.kaspersky.de\/blog\/petya-ransomware\/7375\/\" target=\"_blank\" rel=\"noopener\">Petya aufgetaucht war<\/a> eine <a href=\"https:\/\/www.kaspersky.de\/blog\/petya-decryptor\/7383\/\" target=\"_blank\" rel=\"noopener\">Entschl\u00fcsselungssoftware<\/a> f\u00fcr Petya entwickelte.<\/p>\n<p>Petya zeichnet sich gegen\u00fcber anderen Ransomware-Arten dadurch aus, dass sie nicht nur bestimmte Datentypen verschl\u00fcsselt, sondern \u2014 indem sie die <a href=\"https:\/\/de.wikipedia.org\/wiki\/NTFS#Aufbau_.E2.80.93_MFT\" target=\"_blank\" rel=\"noopener nofollow\">Master File Table<\/a> verschl\u00fcsselt \u2014 die komplette Festplatte des Computers unlesbar macht. Aus diesem Grund ben\u00f6tigte jeder Nutzer, der Petya zum Opfer gefallen war, einen anderen PC, um das L\u00f6segeld zu bezahlen. Nachdem leo_and_stone sein Entschl\u00fcsselungstool kreiert hatte, brauchten Petya-Opfer zwar immer noch einen anderen PC, um die Daten zu entschl\u00fcsseln, aber daf\u00fcr mussten sie nun <em>kein <\/em>L\u00f6segeld mehr bezahlen.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/Petya?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Petya<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ransomware<\/a> eats your hard drives \u2013 <a href=\"https:\/\/t.co\/BSqbmRBmGf\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/BSqbmRBmGf<\/a> <a href=\"https:\/\/t.co\/WpvijrPlSP\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/WpvijrPlSP<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/715232633316384772?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">March 30, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<h3><strong>Darf ich vorstellen \u2014 Mischa<\/strong><\/h3>\n<p>Petya hatte eine Schwachstelle. Um ihrer schmutzigen Arbeit nachgehen zu k\u00f6nnen, ben\u00f6tigte Petya Root-Zugriff. Und solange der Nutzer die Zugriffsberechtigung nicht gew\u00e4hrte, indem er auf \u201eJa\u201c klickt, konnte Petya dem Computer des Nutzers nicht schaden. Deswegen behoben die Petya-Entwickler ihre Panne und b\u00fcndelten Petya mit einer anderen Ransomware \u2014 die ebenfalls einen russisch klingenden Namen tr\u00e4gt: Mischa.<\/p>\n<p>Es gibt zwei grundlegende Unterschiede zwischen Petya und Mischa. Petya versagt Ihnen den Zugriff auf die gesamte Festplatte, wohingegen Mischa nur bestimmte Dateitypen verschl\u00fcsselt \u2014 und das ist wahrscheinlich die gute Nachricht. Die schlechte Nachricht ist, dass Mischa im Gegensatz zu Petya keine Zugriffsberechtigung ben\u00f6tigt. Allem Anschein nach sind ihre Erfinder der Meinung, dass Petya und Mischa sich gegenseitig wunderbar erg\u00e4nzen.<\/p>\n<p>Mischa \u00e4hnelt eher einer gew\u00f6hnlichen Ransomware, wie sie hin und wieder auftauchen. Sie benutzt AES-Verschl\u00fcsselung (Advanced Encryption Standard), um Datenbanken auf Ihrem Computer zu verschl\u00fcsseln. Wie auf dem Bleeping-Computer-Blog <a href=\"http:\/\/www.bleepingcomputer.com\/news\/security\/petya-is-back-and-with-a-friend-named-mischa-ransomware\/\" target=\"_blank\" rel=\"noopener nofollow\">berichtet wird<\/a>, f\u00fcgt sie an die verschl\u00fcsselten Dateien eine vierstellige Dateiendung an, so dass aus test.txt beispielsweise test.txt.7GP3 wird.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/Petya?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Petya<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ransomware<\/a> installs <a href=\"https:\/\/twitter.com\/hashtag\/Mischa?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Mischa<\/a> as failsafe via <a href=\"https:\/\/twitter.com\/threatpost?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@threatpost<\/a> <a href=\"https:\/\/t.co\/qtRhTNKzen\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/qtRhTNKzen<\/a> <a href=\"https:\/\/t.co\/eRDVoNqEl3\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/eRDVoNqEl3<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/731201838838583297?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">May 13, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Versucht ein Nutzer die .exe-Datei, in der Mischa und Petya enthalten sind, zu \u00f6ffnen, scheint ein Windows-Kontrollfeld auf, das den Nutzer fragt, ob er dem Programm die Zugriffsberechtigung gew\u00e4hrt. Das ist einer dieser unangenehmen Momente, in denen beide M\u00f6glichkeiten eine schlechte Wahl sind. Wenn der Nutzer auf \u201eJa\u201c klickt, wird Petya installiert; wenn er auf \u201eNein\u201c klickt, wird Mischa installiert.<\/p>\n<p>Mischa scheint noch habgieriger als Petya zu sein: sie verlangt ca. 1,93 Bitcoins als L\u00f6segeld, was ungef\u00e4hr 765 Euro entspricht. Petya verlangt 0,9 Bitcoins (ca. 355 Euro).<\/p>\n<p>Ein lustiges Detail ist (falls man in Sachen Ransomware \u00fcberhaupt etwas als lustig bezeichnen kann): Petya ist ein russischer Name und Mischa scheint das auch zu sein, ist es aber nicht. Eine russischsprachige Person w\u00fcrde \u201eMischa\u201c ohne \u201ec\u201c in der Mitte schreiben \u2014 mit \u201ec\u201c h\u00f6rt es sich f\u00fcr Russen sehr komisch an!<\/p>\n<p>Leider gibt es noch keine Entschl\u00fcsselungstools f\u00fcr Mischa. Es gibt eins <a href=\"https:\/\/www.kaspersky.de\/blog\/petya-decryptor\/7383\/\" target=\"_blank\" rel=\"noopener\">f\u00fcr Petya<\/a>, aber um es anzuwenden ben\u00f6tigt man einen zweiten Computer und fortgeschrittene PC-Kenntnisse.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/Ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Ransomware<\/a> bug leads to <a href=\"https:\/\/twitter.com\/hashtag\/Petya?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Petya<\/a> decryptor  <a href=\"https:\/\/t.co\/37fMAxbsRd\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/37fMAxbsRd<\/a> <a href=\"https:\/\/t.co\/8M84rY3jXG\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/8M84rY3jXG<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/719579558991831040?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">April 11, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Um zu vermeiden, dass Sie Petya, Mischa oder anderen Ransomware wie Vasya, SuperCrypt, El Rapto oder was noch kommen wird zum Opfer fallen, empfehlen wir Ihnen:<\/p>\n<ol>\n<li><strong>Machen Sie Sicherheitskopien<\/strong>. Machen Sie das regelm\u00e4\u00dfig und gewissenhaft. Wenn Sie eine aktuelle Sicherheitskopie Ihrer Daten haben, k\u00f6nnen Sie die Ransomware zum \u2026 schicken; also dahin schicken, wo Sie m\u00f6chten.<\/li>\n<\/ol>\n<ol start=\"2\">\n<li><strong>Vertrauen Sie niemandem und seien Sie wachsam<\/strong>. Sie erhalten eine Stellenbewerbung mit einer .exe-Datei im Anhang? \u2014 Das sieht verd\u00e4chtig aus \u2014 \u00f6ffnen Sie diese nicht! Vorsicht ist besser als Nachsicht!<\/li>\n<\/ol>\n<ol start=\"3\">\n<li><strong>Installieren Sie eine gute Sicherheitsl\u00f6sung<\/strong>. <a href=\"https:\/\/www.kaspersky.com\/de\/multi-device-security?redef=1&amp;reseller=gl_KDpost_pro_ona_smm__onl_b2c_kasperskydaily_lnk____kismd___&amp;_ga=1.193052847.300785052.1449065439\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Internet Security<\/a> besitzt mehrere Schutzstufen, die an die jeweiligen Bed\u00fcrfnisse angepasst sind und Ransomware wie Mischa abfangen.<\/li>\n<\/ol>\n<p>Kaspersky Internet Security besitzt eine Anti-Spam-Funktion, die Sie vor Spam- und Phishingmails sch\u00fctzt. Es schlie\u00dft eine Antivirusl\u00f6sung ein, die Mischa und Petya, auch bekannt als Trojan-Ransom.Win32.Mikhail und Trojan-Ransom.Win32.Petr, erkennt und unsch\u00e4dlich macht. Es beinhaltet au\u00dferdem die Funktion System Watcher, die ungew\u00f6hnliche Aktivit\u00e4ten (zum Beispiel den Versuch mehrere Dateien zu verschl\u00fcsseln) erkennt und blockiert. <a href=\"https:\/\/www.kaspersky.com\/de\/total-security-multi-device?redef=1&amp;reseller=gl_KDpost_pro_ona_smm__onl_b2c_kasperskydaily_lnk____ktsmd___&amp;_ga=1.193052847.300785052.1449065439\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Total Security<\/a> verf\u00fcgt \u00fcber alle bereits genannten Funktionen und bietet dar\u00fcber hinaus ein Tool, um automatische Sicherheitskopien zu erstellen.<\/p>\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Petya und Mischa sind Freundinnen. F\u00fcr gew\u00f6hnlich unternehmen sie alles gemeinsam \u2026 \u2014 Moment! Das ist kein \u201eRussisch f\u00fcr Anf\u00e4nger\u201c, sondern der Kaspersky-Daily-Blog. Bei Petya und Mischa handelt es sich<\/p>\n","protected":false},"author":696,"featured_media":7710,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6],"tags":[1650,2068,1137,1969,535,257],"class_list":{"0":"post-7703","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-malware","10":"tag-mischa","11":"tag-misha","12":"tag-petya","13":"tag-ransomware","14":"tag-trojaner"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/mischa-ransomware\/7703\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/mischa-ransomware\/7202\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/mischa-ransomware\/7142\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/mischa-ransomware\/8345\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/mischa-ransomware\/8201\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/mischa-ransomware\/11953\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/mischa-ransomware\/12135\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/mischa-ransomware\/5668\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/mischa-ransomware\/11431\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/mischa-ransomware\/11953\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/mischa-ransomware\/12135\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/mischa-ransomware\/12135\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/malware\/","name":"Malware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/7703","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/696"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=7703"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/7703\/revisions"}],"predecessor-version":[{"id":23064,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/7703\/revisions\/23064"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/7710"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=7703"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=7703"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=7703"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}