Die Nachricht von neuer Ransomware ist schon fast nichts mehr neues, aber die Verbreitung und die Art der Verschlüsselung ist diesmal ungewöhnlich. Der neue Verschlüsselungs-Trojaner Petya tritt seit einigen Stunden im deutschsprachigen Raum auf und wird über Dropbox verteilt und verschlüsselt nicht nur bestimmte Datei-Typen, sondern manipuliert den Master-Boot-Record (MBR) der Festplatte. Die Verschlüsselung des MBR führt dazu das der gesamte Rechner blockiert wird. Das auf der Platte installierte Betriebssystem kann nicht mehr ausgeführt werden.

Betriebssystem kann nicht gestartet werden

Hat sich der Eindringling erst mal eingenistet und den MBR manipuliert, erscheint ein Bluescreen, der einem zwingt den Rechner neuzustarten. Aber gleich nach dem Neustart sieht man schon, dass etwas nicht stimmt, statt dem Windows-Logo erscheint zur Begrüßung ein Totenschädel in ASCII
. Wenn man dann eine beliebige Taste gedrückt hat, erscheint die Meldung, dass die Erpresser alle Festplatten verschlüsselt haben und von den Geschädigten fordern sie ein Lösegeld.

Petya hat es auf Windows-Nutzer abgesehene. Eine MBR-Manipulation erfordert erhöhte Rechte, das heißt auch, dass die Ransomware starten kann kommt es bei der Windows-Standardkonfiguration zu einer Abfrage der Benutzerkontensteuerung. Damit sich das Opfer in spe nicht wundert, enthält das Symbolder  Trojaner-Datei auch das UAC-Logo

Unklare Details zur Verschlüsselung

Noch ist nicht bekannt, ob die Daten tatsächlich verschlüsselt – es wird von den Tätern im „Erpresserschreiben“, dass sie alle Platen und USB-Datentrgerämit  RSA und AES verschlüsseln. Laut Foreneinträgen kann es schon ausreichen, den MBR der befallenen Festplatte zu reparieren. Heise hat einen Test durchgeführt, und meldet, dass nach der Reparatur des MBR die Platte trotzdem nicht wieder benutzbar ist – deren Versuche hat nur dazu geführt, dass sich der Schädling nicht mehr meldet.

Verbreitung

Wie bereits erwähnt ist nicht nur die Vorgehensweise, sondern auch der Weg der Verbreitung außergewöhnlich. Der Erpresser verschickt Mails, die von einem vermeintlichen Bewerber stammen sollen und sich im Unternehmen bewerben will. Die Mails sind auf Deutsch und grammatikalisch  korrekt. Die Bewerbungsunterlagen wurden in Dropbox hinterlegt, da diese zu groß für die Mail sein sollte.

Der Dropbox-Ordner heißt passenderweise auch  „Bewerbungsmappe“ und enthält auch ein Bewerbungsfoto. Der Trojaner versteckt sich in einer Datei „Bewerbungsmappe-gepackt.exe“, die angeblich ein selbstextrahierndes Archiv sein soll. Auch hier haben die Cyberkriminellen zu einem Trick gegriffen und das Icon eines bekannten Pack-Programms gewählt.

Unsere Empfehlung lautet: Seien Sie vorsichtig bei Anhängen von unbekannten Absendern und vor allem führen Sie keine ausführbaren Dateien aus, wenn Sie von unbekannten geschickt wurden.