Petya stoppen – bevor er die Festplatten befällt

Es scheint, als wird 2016 das Jahr der Ransomware. Nach den Verschlüsselungs-Trojanern wie „Locky“ oder „TeslaCrypt“ entstehen immer neue Varianten und Versionen, die PC-User in regelmäßigen Abständen treffen.

Die neuen Ransomwares verwenden komplexe asymmetrische Verschlüsselungen, sodass Dateien nicht ohne den passenden Schlüssel entschlüsselt werden können. Via TOR und Zahlungen in Bitcoins gelingt es den Kriminellen völlig anonym zu bleiben.

Und auf einmal taucht Petya auf. Vor allem bei deutschsprachigen Opfer sorgt Petya momentan dafür, dass Rechner nicht mehr starten und Festplatten verschlüsselt werden. ESET enttarnte den Schädling als Win32/Diskcoder.Petya.A.

Der Verbreitungsweg

Vorrangig verbreitet sich Petya auf Windows-PCs in Personalabteilungen von Unternehmen in Deutschland.

Alles beginnt mit einer E-Mail eines vermeintlichen Bewerbers, der sich auf einen Job im Unternehmen bewirbt. Die Bewerbungs-Mail ist in korrektem Deutsch geschrieben, was es Personalern schwer macht, eine Fake-Mail zu erkennen. Allerdings sind die angeblichen Bewerbungsunterlagen im Cloud-Speicherdienst Dropbox hinterlegt, da der Ordner als E-Mail-Anhang zu groß war. Passenderweise lautet der Ordnername „Bewerbungsmappe“. Die Ransomware selber versteckt sich in der Executable „Bewerbungsmappe-gepackt.exe“. Die wahre Identität wird durch ein Icon eines bekannten Pack-Programms verschleiert.

Die Funktionsweise

Anscheinend verschlüsselt Petya Daten auf dem infizierten System in zwei Phasen:

  • Verschlüsselung des Master Boot Record (MBR):

Mit einer einfachen XOR-Funktion verschlüsselt Petya anfänglich nur den Master Boot Record (MBR) mit einem vorgegebenen Wert. In dieser Phase kann ein Schaden auf relativ einfachem Weg reduziert werden – allerdings müsste man sich zum Zeitpunkt der Infizierung dieser bewusst sein. Eine Datenrettung ist jetzt noch möglich. Die Festplatte muss dazu lediglich extern eingebunden werden. Dabei sollte man in aller Aufregung darauf achten, den Datenträger nicht als Boot-Device einzubinden.

Manche Nutzer haben davon berichtet, dass sie den MBR mit dem Windows Wiederherstellungs-Tool reparieren konnten.

  • Verschlüsselung von Daten:

In der zweiten Phase erzeugt die Ransomware einen BSoD (Bluescreen of Death), der den Nutzer zwingt, einen Neustart des Rechners vorzunehmen. Beim nächsten Hochfahren läuft ein simuliertes „check disk“ (chkdsk) und verschlüsselt große Teile des Dateisystems. Auf die Partitionen der Festplatte kann man dann nicht mehr zugreifen. Der gesamte Datenträger scheint allerdings nicht verschlüsselt worden zu sein.  Mit einem Hex-Editor können Teile, wie etwa einzelne Strings, immer noch ausgelesen werden. Wahrscheinlich lassen sich mit Hilfe von speziellen Forensik-Tools noch Daten retten.

Gute Nachrichten

Dropbox hat es geschafft, die bösartigen Archive mit Petya aus seinem Cloud-System zu entfernen. Jetzt müssen sich die Entwickler der Ransomware einen neuen Verbreitungsweg suchen. Auch für Opfer der Malware gibt es gute Nachrichten. Einem Unbekannten mit dem Pesudonym leostone ist es anscheinend gelungen, die Verschlüsselung des Schädlings Petya zu knacken. Ein kostenloses Tool generiert innerhalb weniger Sekunden ein Passwort, mit dem das verschlüsselte Dateisystem wieder freigegeben werden soll. Das Tool findet man unter anderem auf Github.

Dateien wieder freigeben:

Als erstes müssen Petya-Opfer ihre Festplatte mit den verschlüsselten Daten in ein sauberes System einhängen. Danach ist es relativ einfach:

Zunächst benötigt man das Tool PetyaExtractor, welches verschiedene benötigte Werte aus der kompromittierten Festplatte ausliest. Die eben generierten Werte müssen nun in das Textfeld der von leostone aufgesetzten Webseite eingegeben werden. Im Anschluss generiert ein Algorithmus innerhalb von 30 Sekunden das Passwort, mit dem man an dem Petya-Sperrbildschirm vorbeikommt. Nach dem Boot des kompromittierten Datenträgers und der Eingabe des Passworts sollte die Entschlüsselung des Systems von alleine starten.

Petya zeigt, welche Macht so ein Programm über einen PC ausüben kann. Es ist nur eine Frage der Zeit, bis eine neue Variante von Ransomware entwickelt wird und Schaden anrichtet. Doch es gibt Tipps, um sich vor Ransomware zu schützen.

Image credits: ©GotCredit/ flickr

Autor , ESET