Blue Screen: Trend Micro warnt vor neuer Crypto-Ransomware-Variante

Erpressersoftware überschreibt „Master Boot Record“ und verhindert Neustart

Tags: #cryptoransomware #erpressersoftware #verschlüsselung #tor #masterbootrecord #mbr #bluescreen #av #dropbox #petya #trendmicro #news #nachrichten

Hallbergmoos, 29. März 2016. Trend Micro hat eine neue Variante der Crypto-Ransomware „Petya“ analysiert, die vor allem deutschsprachige Anwender ins Visier nimmt: Statt „nur“ Dateien auf infizierten Windows-Rechnern zu verschlüsseln, überschreibt die Erpressersoftware „Petya“ den „Master Boot Record“ (MBR) der Festplatte. Das System stürzt ab, der Anwender sieht einen Bluescreen. Beim Neustart verhindert der Schädling das Ausführen des Betriebssystems – auch im „abgesicherten Modus“ – und zeigt stattdessen einen roten Totenkopf sowie eine Lösegeldforderung. Die Opfer infizierten sich bis vor kurzem mit dieser Variante, indem sie die Erpressersoftware via Dropbox herunterluden. Nach einem entsprechenden Hinweis des japanischen IT-Sicherheitsanbieters Trend Micro hat Dropbox die Petya-Variante entfernt.

Das erste Glied in der Infektionskette ist eine E-Mail-Nachricht, die nach einem unaufgefordert zugesandten Bewerbungsschreiben aussieht. Die vermeintlichen Bewerbungsunterlagen befinden sich jedoch nicht im Anhang, sondern waren in dem von Trend Micro entdeckten und untersuchten Fall über einen Dropbox-Link abrufbar. Das entsprechende Online-Verzeichnis enthielt zwei Dateien. Bei einer davon, dem vorgeblichen Lebenslauf des Bewerbers, handelt es sich um eine sich selbst extrahierende ausführbare Datei. Diese legt auf dem System einen Trojaner ab, der Antivirenprogramme neutralisiert. Erst danach wird die eigentliche Petya-Erpressersoftware, die Trend Micro als RANSOM_PETYA.A erkennt, heruntergeladen und ausgeführt. Gegen die Zahlung von 0,99 Bitcoins, das sind aktuell knapp 386 Euro, bekommen die Opfer angeblich einen persönlichen Entschlüsselungscode, um ihr System wieder zum Laufen zu bringen.

Verhaltensanalyse bietet Schutz
„Auch wenn Erpressersoftware generell und Petya im Besonderen in technischer Hinsicht weder neu noch ausgefallen sind, ist das Infektionsrisiko sehr hoch. Denn die E-Mail-Nachrichten sind täuschend echt. Außerdem bekommen wohl die meisten Firmen heute unaufgefordert Bewerbungen per E-Mail zugesandt, die Links zu Online-Speicherdiensten enthalten. Das Misstrauen der Anwender dürfte also in der Regel gering sein“, sagt Sicherheitsexperte Udo Schneider, Pressesprecher bei Trend Micro Deutschland. „Neben einer erhöhten Wachsamkeit helfen wohl nur Sicherheitslösungen am Endpunkt, die über eine gute Verhaltensanalyse verfügen und im vorliegenden Fall die Installation des Trojaners verhindern.“

Weitere Informationen
Weitere Informationen zur Crypto-Ransomware „Petya“ sind im deutschsprachigen Trend Micro-Blog abrufbar.