„Petya“ präsentiert Auswechselspieler „Mischa“

Der im März aufgetauchte Erpresserschädling Petya markierte einen neuen Schritt in der Entwicklung von Ransomware. Zum ersten Mal ging ein Schadprogramm dieser Art über die Verschlüsselung von Dateien auf lokalen und allgemeinen Festplatten hinaus und nahm sich als neues Angriffsobjekt die Master File Table vor.

Dennoch war auch Petya nicht ohne Fehl und Tadel und Sicherheitsforschern gelang es relativ schnell, ein Tool zu entwickeln, das in der Lage ist, einige von diesem Erpresser verschlüsselte Dateien wiederherzustellen. Wie sich herausstellte, haben aber auch die Cybergangster keine Zeit verschwendet und fanden schnell einen Weg, eine andere Unzulänglichkeit von Petya aus dem Weg zu räumen, und zwar seine Abhängigkeit von der Interaktion des Opfers, das dem Schädling selbst Administratorenrechte bewilligen muss, damit er auf die MFT zugreifen kann.

In der vergangenen Woche wurde ein neuer Installer für Petya entdeckt, der ein Ersatzszenario umsetzt. Wenn es dem Schädling beim Start nicht gelingt, Administratorenrechte zu erhalten, wird auf dem infizierten Rechner eine andere Ransomware installiert, und zwar Mischa.

Laut Aussage von Lawrence Abrams von Bleeping Computer kam die originale ausführbare Datei von Petya mit einem Manifest daher, das die Admin-Rechte anforderte, die für die Funktion von Petya unerlässlich sind. „Das hatte zur Folge, dass Windows vor der Ausführung des Codes ein Dialogfenster der Benutzerkontensteuerung (UAC) anzeigt, das diese Rechte erfragt“, erklärte Abrams in seinem Kommentar gegenüber Threatpost. „Wenn die Benutzerkontensteuerung deaktiviert ist, wird das Programm automatisch ausgeführt [mit Administratorenrechten]. Wenn der Nutzer aber gleichzeitig im UAC-Fenster auf „Nein“ klickt, so wird das Programm nicht gestartet und Petya wird folglich nicht installiert.“

Solche Pannen bei der Installation sind laut Abrams für die Betreiber von Petya schlicht weggeschmissenes Geld. Als Reaktion darauf verpackten sie eine andere Ransomware zusammen mit dem Installer, und zwar Mischa, der ausgeführt wird, wenn die Sache mit Petya nicht funktioniert hat.

Das Manifest der neuen Version verweist darauf, dass diese unter dem Sicherheitskonto des Nutzers läuft. In diesem Fall erlaubt Windows den Start des Programms, ohne eine Warnung der Benutzerkontensteuerung auszugeben. „Beim Start des Installers fragt er in Übereinstimmung mit seinen Einstellungen Administratorenrechte an“, kommentiert Abrams. „Das hat zur Folge, dass eine UAC-Anzeige erscheint, und wenn der Nutzer auf ‚Yes‘ klickt, oder wenn die Benutzerkontensteuerung deaktiviert ist, erhält das Programm Administratorenrechte und installiert Petya. Werden keine Administratorenrechte erhalten, installiert es Mischa. Sehr clever.“

petya_misha_de

Petya attackiert unterdessen weiter deutsche Angestellte via Spam, der mit einem Link auf eine schädliche Datei in der Cloud versehen ist. Zunächst benutzten die Cyberverbrecher zu diesem Zweck Dropbox, doch nachdem die schädlichen Dropbox-Links blockiert worden waren, mussten sie auf den Cloud-Dienst der Telekom ausweichen. Die ausführbare Datei ist als pdf-Dokument getarnt, das angeblich den Lebenslauf eines Bewerbers auf eine freie Position im Unternehmen enthält, manchmal sogar mit Foto.

„Beim Start der ausführbaren Datei wird dem Nutzer das PDF-Icon angezeigt, das den Eindruck erweckt, als sei der Lebenslauf im pdf-Format“, stellt Abrams fest. „Beim Start versucht diese Datei allerdings, Petya zu installieren, und wenn das misslingt, dann die Ransomware Mischa.“

Bezüglich seines Verhaltens unterscheidet sich Mischa nicht von anderen Verschlüsselungsschädlingen. Er scannt die lokale Festplatte und sucht dabei nach Dateien mit bestimmten Erweiterungen, dann chiffrierte er sie mit einem AES-Schlüssel und hängt an den Dateinamen eine aus vier Zeichen bestehende Erweiterung, beispielsweise 7GP3. „Beim Verschlüsseln einer Datei speichert Mischa den chiffrierten Schlüssel am Ende der erhaltenen Datei“, erzählt Abrams. „Ärgerlich ist, dass er nicht nur die in solchen Fällen üblichen Dateien (PNG, JPG, DOCX usw.) verschlüsselt, sondern auch .EXE-Dateien.“

Nachdem er seine Arbeit abgeschlossen hat, fordert Mischa 1,93 Bitcoin (etwa 875 Dollar) für die Dechiffrierung, wobei die Bezahlung über eine Tor-Site erfolgt. Ein Decodierer für diesen Schädling wurde bisher noch nicht entwickelt. „Den Opfern wird immer empfohlen, die Unversehrtheit der Schattenkopien mit Hilfe von Shadow Explorer zu überprüfen“, merkt Abrams abschließend an. „Sie könnten bei der Wiederherstellung alter Versionen der verschlüsselten Dateien hilfreich sein.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.