petya-ransomware-skull-art-acsii-master-boot-record-dropbox

Eine neue Ransomware sperrt den Anwender von allen seinen Dateien aus, indem sie den Master Boot Record der Festplatte ersetzt und die Master File Table (MFT) von NTFS-Partitionen verschlüsselt.

Demnach wird Petya über E-Mail verteilt. Es tarnt sich als deutschsprachiges Bewerbungsschreiben, Hauptzielgruppe sind also Personalabteilungen von Firmen im deutschsprachigen Raum. Ein Link zu Dropbox führt zu einem Archiv welches zwei Dateien enthält: ein JPG-Foto des vermeintlichen Bewerbers und eine ausführbare Datei mit dem Namen „Bewerbungsmappe-gepackt.exe“.

Das E-Mail-Anschreiben wird jeweils für den Adressaten präpariert.

Die EXE-Datei lädt das eigentliche Schadprogramm. Petya gibt sich als das Microsoft-Kommandozeilenwerkzeug Chkdsk aus. In Wahrheit überprüft das Schadprogramm aber nicht das Laufwerk, sondern verschlüsselt die Dateitabelle MFT, die unter NTFS alle wichtigen Angaben – darunter Namen und Größe – zu allen Dateien enthält.

Als logische Konsequenz sind nach einem Reboot keinerlei Dateien mehr zugänglich. Die Ransomware fordert 0,99 Bitcoin – derzeit um 400 Euro – Lösegeld. Nach einer Woche verdoppelt sich diese Summe.

Dropbox hat die fraglichen Dateien inzwischen entfernt. „Auch wenn dieser Angriff keine Kompromittierung von Dropbox‘ Sicherheit bedeutet, haben wir Prozeduren eingerichtet, um solche kriminellen Vorgänge zu unterbinden, sobald sie auftreten“, heißt es in einer Erklärung des Cloud-Storage-Anbieters

Derzeit gibt es für Betroffene keine Möglichkeit, die Daten zu entschlüsseln, wenn kein Backup vorliegt. Mit FixMBR lässt sich zwar der Master Boot Record reparieren und der Bildschirm entsperren, aber nicht auf die Dateien zugreifen. Firmen wird empfohlen, insbesondere ihre Mitarbeiter zu schulen, um einem Befall mit Petya oder ähnlicher Malware vorzubeugen – und natürlich, Backups geschäftskritischer Daten anzulege

Schützen Sie Ihr Netzwerk mit Sophos UTM Lösungen und Sophos Antivirus Advanced.
Wir helfen Ihnen weiter.