Angebliches Bewerbungsschreiben: Ransomware Petya verschlüsselt Master File Table

Eine neue Ransomware sperrt den Anwender von allen seinen Dateien aus, indem sie den Master Boot Record der Festplatte ersetzt und die Master File Table (MFT) von NTFS-Partitionen verschlüsselt. Eine Analyse des „Petya“ getauften Schadprogramms legt Jasen Sumalapao von Trend Micro in einem Blogbeitrag vor.

Petya-Lockscreen (Bild: G Data)Petya-Lockscreen (Bild: G Data)Demnach wird Petya über E-Mail verteilt. Es tarnt sich als deutschsprachiges Bewerbungsschreiben, Hauptzielgruppe sind also Personalabteilungen von Firmen im deutschsprachigen Raum. Ein Link zu Dropbox, der angeblich auf die Bewerbungsmappe verweist, führt zu einem Archiv, das zwei Dateien enthält: ein JPG-Foto des vermeintlichen Bewerbers und eine ausführbare Datei mit dem Namen „Bewerbungsmappe-gepackt.exe“.

Das E-Mail-Anschreiben wird jeweils für den Adressaten präpariert, wie Sumalapao festhält. Und das Verfahren mit Einsatz von Dropbox beschreibt er als höchst ungewöhnlich. Die meiste Ransomware, darunter das zuletzt sehr erfolgreiche Locky, werde entweder als Word-Dokument oder über Drive-by-Downloads verteilt.

Die EXE-Datei lädt das eigentliche Schadprogramm. Auf Bleeping Computer wird der Installationsvorgang geschildert: Währenddessen gibt sich Petya als das Microsoft-Kommandozeilenwerkzeug Chkdsk aus. In Wahrheit überprüft das Schadprogramm aber nicht das Laufwerk, sondern verschlüsselt die Dateitabelle MFT, die unter NTFS alle wichtigen Angaben – darunter Namen und Größe – zu allen Dateien enthält.

Als logische Konsequenz sind nach einem Reboot keinerlei Dateien mehr zugänglich. Die Ransomware fordert 0,99 Bitcoin – derzeit um 400 Euro – Lösegeld. Nach einer Woche verdoppelt sich diese Summe.

ANZEIGE

Upgrade statt Neukauf: SSD steigert die Produktivität

Im Vergleich zu Festplatten glänzen SSDs mit einer höheren Leistung, geringerem Energieverbrauch und weniger Hitzeentwicklung. Die längere Lebensdauer unterstreicht Samsung zudem mit einer 10-jährigen Garantie für seine 850PRO-Serie.

Dropbox hat die fraglichen Dateien inzwischen entfernt. „Auch wenn dieser Angriff keine Kompromittierung von Dropbox‘ Sicherheit bedeutet, haben wir Prozeduren eingerichtet, um solche kriminellen Vorgänge zu unterbinden, sobald sie auftreten“, heißt es in einer Erklärung des Cloud-Storage-Anbieters

Derzeit gibt es für Betroffene keine Möglichkeit, die Daten zu entschlüsseln, wenn kein Backup vorliegt. Mit FixMBR lässt sich zwar der Master Boot Record reparieren und der Bildschirm entsperren, aber nicht auf die Dateien zugreifen. Firmen wird empfohlen, insbesondere ihre Mitarbeiter zu schulen, um einem Befall mit Petya oder ähnlicher Malware vorzubeugen – und natürlich, Backups geschäftskritischer Daten anzulegen.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Neueste Kommentare 

9 Kommentare zu Angebliches Bewerbungsschreiben: Ransomware Petya verschlüsselt Master File Table

Kommentar hinzufügen
  • Am 30. März 2016 um 17:47 von K. Schneider

    Es hätte mich noch interessiert für welchen Job in welcher Branche die angebliche Bewerbung galt.

    • Am 30. März 2016 um 18:02 von Florian Kalenda

      Dazu liegt mir keine definitive Aussage vor, da aber die Bewerbung laut Trend Micro an die jeweilige Firma angepasst wurde, dürften auch Job und Branche gewechselt haben.

      • Am 1. April 2016 um 14:55 von Maik

        Die Anpassungen kann ich bestätigen. Sogar eine persönliche Anrede und die Antwort auf eine ausgeschriebene Stelle wurden genutzt!
        Weiter der Hinweis, das die Bewerbung zu groß für die Mail ist, weshalb der Dropbox Link folgt.

  • Am 30. März 2016 um 18:52 von J. Strasdas

    Kann diese Ransomware MBR und MFT ändern, obwohl das angemeldete Benutzerkonto keine Administratorrechte hat?

  • Am 1. April 2016 um 20:09 von Fouranda

    Der Typ hieß Marcel Schmidt und hat sich bei uns als Psychologe beworben. Der Datei-Anhang war eine Excel-Datei( ganz untypisch)! Danach kam sofort der Totenkopf. Der PC ist hin. Bitte sofort die Polizei benachrichtigen.

    • Am 4. April 2016 um 1:14 von Andrea

      hi Fourada

      Von wegen der PC ist hin. Denn: man kann dieses Teil offenbar unterbrechen. Guck mal hier bei heise:

      http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Petya-Neue-Infektionswelle-rollt-an-Verschluesselung-bisher-nicht-knackbar-3160177.html

      „Eine Analyse der Sicherheitsforscher bei G Data bestätigt die Erkenntnisse von Tests bei heise Security, dass der Verschlüsselungstrojaner Petya Festplatten in zwei Phasen verschlüsselt. Vermeiden Opfer einen Neustart ihres Computers und verhindern so die Ausführung von Phase Zwei, können sie ihre Daten relativ einfach retten. Wird die zweite Phase ausgeführt, gibt es im Moment kein probates Mittel gegen die Verschlüsselung des Trojaners. Allerdings sucht Petya als erstes die Systemplatte und scheint auch nur diese zu verschlüsseln.“

      Außerdem lassen sich auch UEFI-Systeme laut diesem heise-Artikel ziemlich einfach retten:

      http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Petya-Neue-Infektionswelle-rollt-an-Verschluesselung-bisher-nicht-knackbar-3160177.html

      „UEFI-Systeme lassen sich retten“

      „Die Sicherheitsforscher bestätigen die Erkenntnisse von heise Security, dass nur Systeme mit MBR verschlüsselt werden. Hier wird zusätzlich die Master File Table (MFT) mit einem SALSA20-Schlüssel verschlüsselt, der danach gelöscht wird. Petya erzeugt außerdem eigenen MBR-Code, um seinen Sperrbildschirm anzuzeigen. Bei Systemen, die über UEFI booten, wird ebenfalls der MBR-Bereich überschrieben, was den Bootprozess aber nicht behindert. Außerdem zerstört der Trojaner die GPT-Partitionstabelle, was den Boot des Sytems verhindert, die Platten allerdings unbehelligt lässt. Mit Reparaturwerkzeugen kann man also die GPT wiederherstellen und das System retten.“

  • Am 1. April 2016 um 22:00 von PeerH

    Ich hab seit Jahren mal wieder professionell wirkende SPAM Anschreiben in der Mailbox gehabt:
    1. Eines, in dem mir ein Job vorgeschlagen wurde – sechs Stunden Arbeit und ‚garantiert‘ 3.500€ Netto. Da sollte man schon skeptisch werden, insbesondere, wenn man keinen Job sucht. ;-)
    Zip Datei enthält die Bewerbungsunterlagen.
    2. Eine Mahnung nebst Drohung, dass man mich verklagen wird, wenn ich nicht innerhalb von 48 Stunden reagiere und zahle – die Zip Datei enthält die Rechnung. Erschreckend war, dass Klarname und Adresse aufgeführt waren.

    Professionell deswegen, weil der Text in beiden Fällen keine Fehler enthielt, und recht realistisch formuliert war. Offensichtlich lassen die sich ihren Dreck nun professionell übersetzen.
    (Oder: ich hab einen interessanten Job ausgeschlagen, und muss bald ins Gefängnis. ;-))

    Es hilft sich vor Augen zu führen, dass solche Anschreiben heutzutage kein seriöses Unternehmen per E-Mail verschickt – es wird der Postweg gewählt.

  • Am 4. April 2016 um 1:30 von Andrea

    Weiterhin ist es so, dass dieses Teil namens Petya nicht alleine unterwegs ist, sondern es einen Begleiter namens Samsa hat. Dazu hier was von heise:

    http://www.heise.de/security/meldung/Erpressungs-Trojaner-mit-neuer-Taktik-Erst-schauen-dann-verschluesseln-3153767.html

    Der arbeitet mit einer neuen Masche! Guckt mal dass hier an:

    „Nach einem Einbruch in ein Netz verschaffen sich die Erpresser hinter Samsa zunächst Zugriff auf so viele Systeme wie möglich. Erst dann kommt die Verschlüsselung zum Einsatz – und die Opfer bekommen gesalzene Lösegeld-Forderungen.“

    „Das offenbar lukrative Geschäft mit der Lösegelderpressung nach Datenverschlüsselung hat eine neue Spielart: Nach einem Einbruch in ein Netz erkunden die Macher von Samsa zunächst die Infrastruktur und verbreitern ihre Operationsbasis. Erst danach starten sie dann manuell den Verschlüsselungsvorgang mit den vorgefundenen Daten auf allen kompromittierten Systemen. Palo Alto, Microsoft, Cisco Talos, und Intel Security berichten je nach Gusto über Samsa, Samsam, Samas oder Mokoponi und meinen das gleiche; auch das FBI warnt vor der neuen Erpresser-Masche.“

    „Herkömmliche Erpressungs-Trojaner fängt man sich üblicherweise über Mails mit Dateianhängen oder Drive-by-Downloads ein; sie verrichten ihr Werk vollautomatisch und verschlüsseln alle wichtigen Daten, die sie erreichen können. Bei Samsa-Infektionen gehen die Angreifer anders vor. Sie brechen gezielt in verwundbare Netze ein – die dafür eingesetzten Methoden variieren. Ein beliebtes Angriffsziel sind laut Ciscos Bericht zu SamSam Lücken in verwundbaren JBoss-Installationen, die sie mit dem Open-Source-Tool JexBoss aufspüren und ausnutzen“

    „Verschlüsselung in Handarbeit

    Anschließend verschaffen sich die Einbrecher mit weiteren Tools einen Überblick und versuchen weitere Systeme im Netz zu übernehmen. Dabei kommt nach Microsofts Samas-Analysen unter anderem ein Remote Adminstration Toolkit (RAT) namens MSIL/Bladabindi zum Einsatz. Erst im letzten Schritt schreiten die Erpresser zur Datenverschlüsselung. Sie starten diese auf den erreichbaren Systemen übers Netz mit dem Sysinternals-Tool psexec. Zum Einsatz kommt offenbar eine Mischung aus AES und RSA-2048; die verschlüsselten Dateien erhalten dabei die Endung encedRSA oder auch encrypted.RSA.“

    „Darüber hinaus löschen die Erpresser wie man es von Locky und & Co kennt via vssadmin.exe Schattenkopien. Besonderes Augenmerk legen die Kriminellen laut Intel Securitys Bericht zu Targeted Ransomware allerdings auch noch auf Backups, die entweder gelöscht oder ebenfalls verschlüsselt werden.“

    „Lösegeld pro PC“

    „Eine solche Samsa-Infektion kann richtig teuer werden, weil sich das Lösegeld teilweise an der Zahl der infizierten Systeme orientiert. Bis zu 1,5 Bitcoins, also umgerechnet 550 Euro pro PC fordern die Erpresser dann. Bei pauschaler Berechnung fallen bis zu 50 Bitcoins an, was umgerechnet rund 18.500 Euro ergibt.“

  • Am 9. April 2016 um 13:13 von Andrea

    Außerdem können mich diese Crypto-Malwareschreiberlinge von Schmierfinken inzwischen mal. Denn: auch wenn ihr mir mal meine Festplatte crypten solltet, dann habe ich nämlich alle meine Files auf einer externen neuen HDD liegen die eine größe von 6 TB hat. Und die hängt NICHT im Alltag am Rechner sonder nur dann, wenn ich meine Daten auf Backup lege. Danach wird die wieder abgekoppelt und sicher verwahrt. Fuer alltags nutze ich eine 1 TB externe Festplatte.

    Tja…Wenn also nun irgendwann mal meine Platte gecryptet werden sollte und dadurch das System nicht mehr bootet, mache ich einfach kurzen Prozess:

    -> Bootstick ans Notebook gesteckt mit einem sauberen Linux
    -> auf den Destktop gebootet
    -> Gparted geöffnet
    -> weg mit der alten GPT-Partitionstabelle und neue GPT-Tabelle geschrieben mit GParted
    -> dann auf dem Destop auf das Icon fuer die Neuinstallation geklickt
    -> runter mit dem alten Linux und ein neues Linux installiert
    -> Reboot
    -> Update und Upgrade durchgefuehrt
    -> firewalld installiert
    -> Bitdefender AntiVirus fuer Unices installiert
    -> eigene Files von extern zurueckgespielt

    Tja… so einfach macht man sich das Leben, ihr Malware-Schreiberlinge von Schmierfinken. Ätsch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *