Angebliches Bewerbungsschreiben: Ransomware Petya verschlüsselt Master File Table

Eine neue Ransomware sperrt den Anwender von allen seinen Dateien aus, indem sie den Master Boot Record der Festplatte ersetzt und die Master File Table (MFT) von NTFS-Partitionen verschlüsselt. Eine Analyse des „Petya“ getauften Schadprogramms legt Jasen Sumalapao von Trend Micro in einem Blogbeitrag vor.

Petya-Lockscreen (Bild: G Data)Demnach wird Petya über E-Mail verteilt. Es tarnt sich als deutschsprachiges Bewerbungsschreiben, Hauptzielgruppe sind also Personalabteilungen von Firmen im deutschsprachigen Raum. Ein Link zu Dropbox, der angeblich auf die Bewerbungsmappe verweist, führt zu einem Archiv, das zwei Dateien enthält: ein JPG-Foto des vermeintlichen Bewerbers und eine ausführbare Datei mit dem Namen „Bewerbungsmappe-gepackt.exe“.

Das E-Mail-Anschreiben wird jeweils für den Adressaten präpariert, wie Sumalapao festhält. Und das Verfahren mit Einsatz von Dropbox beschreibt er als höchst ungewöhnlich. Die meiste Ransomware, darunter das zuletzt sehr erfolgreiche Locky, werde entweder als Word-Dokument oder über Drive-by-Downloads verteilt.

Die EXE-Datei lädt das eigentliche Schadprogramm. Auf Bleeping Computer wird der Installationsvorgang geschildert: Währenddessen gibt sich Petya als das Microsoft-Kommandozeilenwerkzeug Chkdsk aus. In Wahrheit überprüft das Schadprogramm aber nicht das Laufwerk, sondern verschlüsselt die Dateitabelle MFT, die unter NTFS alle wichtigen Angaben – darunter Namen und Größe – zu allen Dateien enthält.

Als logische Konsequenz sind nach einem Reboot keinerlei Dateien mehr zugänglich. Die Ransomware fordert 0,99 Bitcoin – derzeit um 400 Euro – Lösegeld. Nach einer Woche verdoppelt sich diese Summe.

Dropbox hat die fraglichen Dateien inzwischen entfernt. „Auch wenn dieser Angriff keine Kompromittierung von Dropbox‘ Sicherheit bedeutet, haben wir Prozeduren eingerichtet, um solche kriminellen Vorgänge zu unterbinden, sobald sie auftreten“, heißt es in einer Erklärung des Cloud-Storage-Anbieters

Derzeit gibt es für Betroffene keine Möglichkeit, die Daten zu entschlüsseln, wenn kein Backup vorliegt. Mit FixMBR lässt sich zwar der Master Boot Record reparieren und der Bildschirm entsperren, aber nicht auf die Dateien zugreifen. Firmen wird empfohlen, insbesondere ihre Mitarbeiter zu schulen, um einem Befall mit Petya oder ähnlicher Malware vorzubeugen – und natürlich, Backups geschäftskritischer Daten anzulegen.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de