News

„Petya“ verschlüsselt Master File Table

In ihren Anfangszeiten sperrten Erpresser-Programme den Desktop. Dann begannen sie Dateien zu verschlüsseln. Bald darauf fingen die Blockier-Programme an, Webserver, allgemeine Laufwerke und Backups anzugreifen. Was kommt als nächstes?

Wir präsentieren Petya, ein Erpresserprogramm, dessen Ziel der Master Boot Record ist. Dieser Schädling wurde im Rahmen einer Analyse einer Spam-Versendung mit geringer Auflage entdeckt, die die Belegschaft deutscher Firmen im Visier hatte. Er verschlüsselt die Master File Table, MFT, und fordert 0,9 Bitcoin (etwa 340 Euro) für den Dechiffrierungsschlüssel.

Laut Angaben von BleepingComputer enthält das Schadspam einen Link auf Dropbox, bei dessen Aktivierung der Download des Installationsprogramms des Schädlings erfolgt. Nach dem Start tauscht Petya den MBR durch ein schädliches Ladeprogramm aus, das den Neustart von Windows erzwingt und auf dem Bildschirm eine Imitation der Überprüfung von Dateisystem-Strukturen auf Datenträgern (CHKDSK) anzeigt.

[youtube https://www.youtube.com/watch?v=3Ixtt8LVpTk&w=560&h=315]

„Im Stadium der gefälschten CHKDSK-Überprüfung verschlüsselt Petya die Master File Table auf der Festplatte“, schreiben die Forscher in ihrem Blog. „Nach der Beschädigung der MFT, in diesem Fall durch Verschlüsselung, kann der Computer den Standort der Dateien nicht mehr bestimmen, er kann noch nicht einmal feststellen, ob sie überhaupt da sind. Folglich kann auf die Dateien nicht mehr zugegriffen werden.“

Die Lösegeldforderung wird dem Opfer angezeigt, bevor Windows gestartet wird; dem Nutzer wird mitgeteilt, dass die Festplatte verschlüsselt wurde und ihm wird erklärt, wie er auf eine Site im Netzwerk Tor gelangt, um dort die Zahlung vorzunehmen. Zum gegenwärtigen Zeitpunkt gibt es laut BleepingComputer keine Möglichkeit, die MFT zu dechiffrieren, nur die Blockierung des Bildschirms (gefälschte CHKDSK-Anzeige) lässt sich mit Hilfe des Befehls FixMBR oder durch die Wiederherstellung des Master Boot Records aufheben. In letztgenanntem Fall wird die Infektion gelöscht, doch leider hat das seinen Preis: Windows muss neu installiert werden und Daten gehen verloren.

Petya ist nur ein weiteres Beispiel dafür, dass Erpressersoftware Funktionalität hinzugefügt wird, die eine Analyse und den Schutz vor Schädlingen erschweren. Kurz vor dem Erscheinen von Petya wurde ein anderer Neuling dieser Art entdeckt, und zwar PowerWare, an dem die Cyberkriminellen eine dateilose Infektionsmethode ausprobierten.

Quelle: Threatpost

„Petya“ verschlüsselt Master File Table

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach