Kein Gegenmittel

Neuer Erpresser-Trojaner Petya greift um sich

(Bild: thinkstockphotos.de)

Kaum ist die Aufregung um den fiesen Verschlüsselungs-Trojaner Locky abgeklungen, der zehntausende PCs im deutschsprachigen Raum infiziert hat, macht schon die nächste Ransomware von sich reden. "Petya", so der Name eines gerade Fahrt aufnehmenden neuen Erpresser-Trojaners, verbreitet sich über gefälschte Bewerbungsunterlagen und nimmt Daten in Geiselhaft - bislang unwiederbringlich, außer man bezahlt das verlangte Lösegeld.

Das Antivirenunternehmen G Data warnt: Mit Petya nehmen Cyberkriminelle insbesondere Firmen ins Visier. Ihr Plan sieht vor, sensible Unternehmensdaten zu verschlüsseln und die Besitzer zur Überweisung eines Lösegelds zu bringen, um die Dateien zu retten.

Als Verbreitungsweg haben die Petya-Macher gefälschte Bewerbungs-Mails gewählt, die einen Link auf vermeintliche Unterlagen am Cloud-Dienst Dropbox enthalten. Tatsächlich handelt es sich bei den Unterlagen aber um eine .exe-Datei, die beim Start mit der Verschlüsselung der Daten am Computer beginnt. In diesem Video demonstriert G Data den Infektionsablauf:

Der Verschlüsselungsvorgang erfolgt einem "Heise Security"-Bericht zufolge in zwei Phasen. In der ersten Phase nach dem Klick auf die Infektionsdatei manipuliert der Trojaner den Master Boot Record und verhindert so, dass sich das Betriebssystem normal starten lässt. Erkennt man die Malware in diesem Infektionsstadium, lässt sich der Schaden für versierte Nutzer noch abwenden, heißt es im IT-Magazin.

Danach täuscht der Trojaner einen Bluescreen vor, damit der Nutzer den PC neustartet. Erst nach dem Neustart beginnt unter dem Deckmantel eines vorgetäuschten "Chkdsk"-Festplattenprüfvorgangs die Verschlüsselung der Daten.

Entschlüsselung bisher nicht möglich
Ist diese erfolgt, hat der Nutzer des infizierten Rechners ein Problem. Entschlüsseln lassen sich durch Petya-Infektionen in Geiselhaft genommene Daten nämlich derzeit nicht. Will man sie retten, muss man wohl oder übel das Lösegeld an die Virenurheber überweisen.

Ein paar Schwächen hat Petya aber trotzdem. Dazu zählt, dass die Malware zunächst offenbar nur die Systemplatte verschlüsselt. Hat man seine Daten auf einer zweiten Festplatte im System geparkt, kann man diese nach der Infektion ausbauen und die Daten so retten, auch wenn der PC sich nicht mehr normal starten lässt. Wer ihn vor Phase zwei der Infektion erkennt, hat ebenfalls eine Chance.

Erst nach dem Neustart und der Verschlüsselung zeigt Petya sein wahres Gesicht.

(Bild: G Data)

Statt Windows startet ein Petya-infizierter PC nur diesen roten Bildschirm mit Anweisungen.

(Bild: G Data)

Besonders fies: Petya setzt Nutzern eine Frist, nach der sich die Höhe des Lösegelds verdoppelt.

(Bild: G Data)

Vorsicht vermeidet viele Infektionen
Abgesehen davon, die dem Trojaner eigenen Schwächen auszunutzen, kann man im Falle einer Petya-Infektion wenig tun. Entschlüsselungs-Tools gibt es bislang nicht, die Anti-Ransomware-"Impfung", die wir kürzlich vorgestellt haben, ist gegen Petya noch nicht wirksam.

Echten Schutz bieten nur die althergebrachten Verhaltens-Richtlinien, um eine Ransomware-Infektion zu vermeiden. Dazu zählen größtes Misstrauen bei verdächtigen E-Mails, die Nutzung aktueller Software und eines Virenschutzprogramms sowie regelmäßige Datensicherung, beispielsweise auf externe und nicht permanent mit dem System verbundene Festplatten, um die Daten im Fall einer Infektion wiederherstellen zu können.