Ransomware Petya: Erpressersoftware verschlüsselt nun gesamte Festplatte
Entdeckt wurde die neue Variante von G Data. Bisher hatten sich Erpresser in der Regel auf die Dateiverschlüsselung beschränkt. Die Angriffswelle richtet sich gegen Unternehmen. Sie erhalten zum Beispiel infizierte, sehr glaubhaft wirkende Bewerbungen.
G Data hat auf eine neue Malware-Variante hingewiesen, die sich nicht wie bisherige Ransomware darauf beschränkt, Dateien und Ordner zu verschlüsseln, sondern gleich die gesamte Festplatte in Geiselhaft nimmt. Die von G Data beobachtete Kampagne zielt auf Unternehmen ab.
Darin wurde in einer sehr glaubwürdig gestalteten E-Mail eines vermeintlichen Bewerbers an die Personalabteilung auf eine Datei verwiesen, die bei Dropbox liegt. Auch die Dropbox-Seite sieht noch recht glaubwürdig aus, aufhorchen lassen sollte hier jedoch die Endung .exe der vermeintlichen Bewerbungsmappe.
Wird die geöffnet, stürzt der Rechner mit einem Bluescreen ab und bootet anschließend neu. Dabei wird der Master Boot Record (MBR) so manipuliert, dass die von ihren Autoren Petya genannte Malware die Kontrolle übernehmen kann. Das System startet dann mit einer Meldung, dass es nach dem Absturz geprüft werde, was einige Stunden dauern könne und Nutzer den Rechner nicht abschalten sollen. In dieser Zeit findet dann jedoch die Verschlüsselung statt.
Ob dabei tatsächlich die gesamte Festplatte verschlüsselt wird oder nur der Zugriff auf die Dateien ist laut G Data derzeit noch unklar. Auf jeden Fall sieht der Nutzer im Anschluss einen Lockscreen mit Totenkopf und wird zur Lösegeldzahlung aufgefordert. Um ihre Spuren zu verwischen nutzen die Angreifer das TOR-Netzwerk, um den Druck zu erhöhen drohen sie nach sieben Tagen die Lösegeldsumme zu verdoppeln.
G Data rät betroffenen Nutzern dazu, auf keinen Fall zu zahlen. In dem Punkt ist sich die Security-Branche ohnehin weitgehend einig. Als Vorbeugung empfiehlt der Hersteller ebenfalls ebenso wie seine Wettbewerber regelmäßige Backups und den Einsatz aktueller Sicherheitssoftware. Zudem rät er in Bezug auf die aktuelle Kampagne bei der Dateiendung „.exe“ in Dropbox die Bearbeitung der vermeintlichen Bewerbung abzubrechen.
Sollte es die Malware Petya bereits auf den Rechner geschafft haben, soll man ihn vom Netz nehmen, aber auf keinen Fall voreilig verloren geben. „Noch ist unklar, ob sich die Daten auf der Festplatte nicht doch noch retten lassen. Wir werden hier berichten, sobald unsere Analysen darüber Klarheit liefern“, so G Data im Firmenblog.
Die Experten von G Data erklären die von der Malware Petya ausgehende Gefahr auch in einem Video bei Youtube.