„Petya“ verschlüsselt Master File Table

In ihren Anfangszeiten sperrten Erpresser-Programme den Desktop. Dann begannen sie Dateien zu verschlüsseln. Bald darauf fingen die Blockier-Programme an, Webserver, allgemeine Laufwerke und Backups anzugreifen. Was kommt als nächstes?

Wir präsentieren Petya, ein Erpresserprogramm, dessen Ziel der Master Boot Record ist. Dieser Schädling wurde im Rahmen einer Analyse einer Spam-Versendung mit geringer Auflage entdeckt, die die Belegschaft deutscher Firmen im Visier hatte. Er verschlüsselt die Master File Table, MFT, und fordert 0,9 Bitcoin (etwa 340 Euro) für den Dechiffrierungsschlüssel.

Laut Angaben von BleepingComputer enthält das Schadspam einen Link auf Dropbox, bei dessen Aktivierung der Download des Installationsprogramms des Schädlings erfolgt. Nach dem Start tauscht Petya den MBR durch ein schädliches Ladeprogramm aus, das den Neustart von Windows erzwingt und auf dem Bildschirm eine Imitation der Überprüfung von Dateisystem-Strukturen auf Datenträgern (CHKDSK) anzeigt.

[youtube https://www.youtube.com/watch?v=3Ixtt8LVpTk&w=560&h=315]

„Im Stadium der gefälschten CHKDSK-Überprüfung verschlüsselt Petya die Master File Table auf der Festplatte“, schreiben die Forscher in ihrem Blog. „Nach der Beschädigung der MFT, in diesem Fall durch Verschlüsselung, kann der Computer den Standort der Dateien nicht mehr bestimmen, er kann noch nicht einmal feststellen, ob sie überhaupt da sind. Folglich kann auf die Dateien nicht mehr zugegriffen werden.“

Die Lösegeldforderung wird dem Opfer angezeigt, bevor Windows gestartet wird; dem Nutzer wird mitgeteilt, dass die Festplatte verschlüsselt wurde und ihm wird erklärt, wie er auf eine Site im Netzwerk Tor gelangt, um dort die Zahlung vorzunehmen. Zum gegenwärtigen Zeitpunkt gibt es laut BleepingComputer keine Möglichkeit, die MFT zu dechiffrieren, nur die Blockierung des Bildschirms (gefälschte CHKDSK-Anzeige) lässt sich mit Hilfe des Befehls FixMBR oder durch die Wiederherstellung des Master Boot Records aufheben. In letztgenanntem Fall wird die Infektion gelöscht, doch leider hat das seinen Preis: Windows muss neu installiert werden und Daten gehen verloren.

Petya ist nur ein weiteres Beispiel dafür, dass Erpressersoftware Funktionalität hinzugefügt wird, die eine Analyse und den Schutz vor Schädlingen erschweren. Kurz vor dem Erscheinen von Petya wurde ein anderer Neuling dieser Art entdeckt, und zwar PowerWare, an dem die Cyberkriminellen eine dateilose Infektionsmethode ausprobierten.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.