Ransomware Petya verbreitet sich via Dropbox

Manipuliert Master-Boot-Record (MBR) der Festplatte

Die neue Ransomware Petya verbreitet sich aktuell rasant auf Windows-PCs in Deutschland. Verteilt wird der Trojaner via Dropbox und manipuliert die Festplatte, so dass sich das Microsoft-Betriebssystem gar nicht mehr ausführen lässt. Das ist eher ungewöhnlich, denn üblicherweise knöpft sich Ransomware bestimmte Dateien vor, während hier sogar der Master-Boot-Record (MBR) der Festplatte verändert wird. Die Folge ist, dass Betroffene nach dem Start nur noch den ACII-Totenkopf aus unserem Beitragsbild zu Gesicht bekommen.

Anzeige

Wie üblich verlangen die Erpresser nun ein Lösegeld für die Entschlüsselung. Um die MBR-Zugriffe durchführen zu können, fragt die Ransomware unter Windwos über die Benutzerkontensteuerung (UAC) entsprechende Rechte an, was eine letzte Möglichkeit für den Anwender ist das Schlimmste zu verhindern.

Dabei ist derzeit offen, ob Petya tatsächlich Daten verschlüsselt. Die Täter geben an, sie würden mit RSA (4096-bit) und AES (256-bit) arbeiten. Da die Verschlüsselung ganzer Festplatten aber viel Zeit benötigt, sollten die Nutzer, die Petya bei der Arbeit wähnen, ihren PC umgehend ausknipsen, um eventuell das Schlimmste zu verhindern.

Die Masche bei Petya ist Unternehmen eine E-Mail zu senden, die von einem vermeintlichen Bewerber stammt. Jener habe seine Unterlagen bei Dropbox hochgeladen, weil die Dateien als E-Mail-Anhang zu groß gewesen seien. Wer dann auf den Dropbox-Link zugreift kommt tatsächlich zu einem Ordner namens „Bewerwebungsmappe“, der zwar auch ein Bewerbungsfoto enthält, zugleich aber auch, spätestens hier sollten die Alarmglocken klingen, eine Datei namens „Bewerbungsmappe-gepackt.exe“. Dahinter verbirgt sich dann die Ransomware Petya.

Quelle: Heise

André Westphal

Redakteur

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.