[vladi63]

Erpressungstrojaner: Ransomware "Petya" riegelt Rechner ganz ab



Laut einem Medienbericht verbreitet sich aktuell eine neue Ransomware im deutschsprachigen Raum. Der Erpressungs-Trojaner "Petya" wird über den Cloud-Service Dropbox verteilt und scheint infizierte Windows-Rechner komplett abriegeln zu können.

Bewerbung mit Folgen
Wie Heise berichtet, scheint die Ransomware mit dem Namen "Petya" seit Kurzem auch in Deutschland aktiv zu werden und immer mehr Rechner zu befallen. Nach dem Bericht wählen die Angreifer für die Verbreitung ihrer Schadsoftware einen eher ungewöhnlichen Weg: So setzt man offenbar auf E-Mails, die vermeintlich eine Bewerbung enthalten - ob diese entsprechend vornehmlich auch an Unternehmen versandt werden, ist aktuell noch nicht bekannt.

Video hier Klicken


In der Nachricht werden die Empfänger in perfektem Deutsch dazu aufgefordert, angebliche Bewerbungsunterlagen bei dem Cloud-Dienst Dropbox herunterzuladen, weil diese für einen Anhang zu groß gewesen seien. Wie Heise Security bei der genaueren Untersuchung feststellen konnte, wurde der Dropbox-Ordner passend mit "Bewerbungsmappe" benannt und mit einem vermeintlichen Bewerbungsfoto versehen. Hinter der Datei "Bewerbungsmappe-gepackt.exe", deren Programmsymbol dem eines bekannten Packprogramms entspricht, verbirgt sich dann der Trojaner "Petya".

Petya macht einfach alles dicht
Neben dem Verbreitungsweg zeigt die neue Ransomware auch auf infizierten Systemen ein ungewöhnliches Verhalten. Während andere Erpressungs-Trojaner meist nur Teile der Festplatte oder bestimmte Dateitypen verschlüsseln, sorgt "Petya" dafür, dass das Betriebssystem nicht mehr ausgeführt werden kann. Dafür manipuliert der Schädling den Master-Boot-Record (MBR) der Festplatte und erzeugt anschließend einen Bluescreen.

Nach dem erzwungenen Neustart wird der Nutzer dann mit einer ASCII-Grafik in Form eines Totenkopfs begrüßt und darauf hingewiesen, dass alle Festplatten verschlüsselt worden seien. Um den Rechner wieder freizugeben, fordern die Erpresser Lösegeld, das über eine Tor-Seite beglichen werden soll.

Allerdings ist aktuell noch gar nicht sicher, ob "Petya" tatsächlich dazu in der Lage ist, Festplatten zuverlässig zu verschlüsseln. Die Erpresser behaupten, für die Verschlüsselung auf RSA (4096 Bit und AES (256 Bit) zu setzen. Berichte, der Trojaner könnte durch eine Reparatur des Master-Boot-Record ausgehebelt werden, konnte Heise bisher nicht bestätigen.


Quelle

[vladi63]

So funktioniert der Krypto-Trojaner Petya

Video hier Klicken


Mit Petya ist derzeit ein neuer Krypto-Trojaner im Umlauf, der ähnlich wie Locky Dateien auf infizierten Rechnern verschlüsselt und diese erst nach der Zahlung eines bestimmten Geldbetrages wieder freigibt. Im Gegensatz zu Locky verschlüsselt Petya allerdings nicht nur bestimmte Dateitypen, sondern gleich alle Daten auf den Festplatten des betroffenen PCs.

Unternehmen als Ziel
Aktuell wird Petya ausschließlich als vermeintliche Bewerbung an Unternehmen versendet. Der Schädling arbeitet in zwei Stufen, vor dem Beginn der zweiten Stufe kann die Verschlüsselung der Daten noch aufgehalten werden, wie unsere Kollegen von SemperVideo in diesem Video zeigen.

Nach dem Ausführen arbeitet Petya zunächst im Hintergrund, also vom Nutzer unbemerkt. Dabei wird der Master Boot Record (MBR) umgeschrieben, sodass beim nächsten Hochfahren des PCs nicht mehr Windows, sondern ein Verschlüsselungsprogramm startet. Anschließend wird der Computer zum Absturz gebracht und so zum Neustart gezwungen.

Beim Starten wird dem Nutzer dann ein Programm angezeigt, welches angeblich die Festplatte nach Fehlern durchsucht. Tatsächlich wird bei dem Vorgang jedoch die Festplatte verschlüsselt. Anschließend erscheint die Aufforderung an den Nutzer, über das Tor-Netzwerk einen individuellen Key zum Entschlüsseln der Daten zu erwerben.

Verschlüsselung verhindern
Wird Petya rechtzeitig erkannt, lässt sich die Verschlüsselung somit verhindern. Dazu ist lediglich eine Reparatur des Bootsektors erforderlich, bevor der Verschlüsselungsvorgang beginnt.

Hierzu ändert man zunächst über das BIOS die Bootreihenfolge, sodass der PC nicht mehr von der Festplatte startet. Stattdessen bootet man von der Installations-CD von Windows und öffnet dort mithilf der Computerreparaturoptionen die Eingabeaufforderung. Über die Befehle Bootrec /RebuildBcd, Bootrec /fixMbr und Bootrec /fixboot wird der Master Boot Record wiederhergestellt, eine Verschlüsselung der Daten findet dann nicht mehr statt.

Quelle

[vladi63]

Erpressung: Neue Petya-Welle; Systemsperre bisher nicht knackbar



Die Ransomware Petya, die ganze Systeme lahmlegen kann, verbreitet sich laut einem Bericht aktuell in einer neuen Welle auf Systemen in Deutschland. Der Mechanismus, mit dem der Erpressungstrojaner Systeme unzugänglich macht, hält Knackversuchen bisher Stand.

Link gelöscht, neuer Link kreiert
Unter der Überschrift Erpressungstrojaner: Ransomware Petya riegelt Rechner ganz ab hatten wir genau vor einer Woche darüber berichtet, dass eine neue Ransomware im deutschsprachigen Raum aktiv wurde, die die Nutzung von betroffenen Systemen ganz verhindert. Die Verbreitung der Schadsoftware war über einen Dropbox-Link erfolgt, über den anvisierte PC-Nutzer angebliche Bewerbungsunterlagen herunterladen sollten. Die Vorgehensweise legt nah, dass es die Angreifer mit ihrer Ransomware vor allem auf Unternehmen abgesehen haben.

Wie jetzt der Antivirenhersteller G Data mitteilt, will man aktuell eine neue Welle von Infektionen mit Petya registriert haben, die Computersysteme in Deutschland überrollt. Dropbox hatte zwar nach Bekanntwerden der Verbreitung den Phishing-Link zu der Datei lahmgelegt, der Trojaner wurden aber einfach wieder bei dem Clouddinest gehostet - und das auch mit derselben Tarnung als Bewerbungsunterlage. Die Sicherheitsexperten liefern dabei auch Screenshots der E-Mail, mit der die Opfer auf diese neue Seite gelockt werden.

Dateizugang gesperrt
Wie G Data außerdem in einer eingehenden Analyse festgestellt haben will, erfolgt die Abriegelung der Festplatten durch Petya in zwei Stufen. Wird die exe.-Datei ausgeführt, führt dies zunächst zu einem Bluescreen. Zu diesem Zeitpunkt manipuliert die Schadsoftware die Master Boot Record (MBR) des Systems und übernimmt so Kontrolle über den Boot-Prozess. Nach einem Neustart gaukelt Petya dann mit einer scheinbar harmlosen Meldung vor, der Nutzer müsse einen System-Check durchführen.

Wie G Data betont, geht der Zugang zu den Festplatten des Systems erst nach Bestätigung dieses Schrittes verloren. Außerdem habe man bisher keine Hinweise darauf gefunden, dass Petya Festplatten tatsächlich verschlüsselt. Vielmehr scheine es demnach so, als ob die Angreifer einen Weg gefunden hätten, den \"Zugang zu Dateien zu blockieren\", die einzelnen Inhalte würden aber offenbar nicht verschlüsselt. Jetzt müssten die Experten weitere Analysen durchführen, um den neuen Ransomware-Typus noch besser zu verstehen.

Quelle

[vladi63]

Ransomware Petya geknackt, "Löse-Key" kann per Web generiert werden

Die so genannte Ransomware mit dem Namen Petya kam Ende März auf und hat so manchen Nutzer den Zugang zum eigenen System verwehrt. Dabei wurde der Rechner verschlüsselt, das dazugehörige Passwort bekamen Opfer bisher aber nur gegen die Bezahlung eines "Lösegelds" per Bitcoin. Doch nun dürfte der Spuk zu Ende sein, da die Petya-Verschlüsselung geknackt werden konnte.

Nicht zahlen: Das ist bisher der Standard-Rat, wenn es um per Ransomware gesperrte Rechner geht. Das mag zwar schwer fallen, wenn man "entführte" Dateien dringend braucht, denn das dauert mitunter. Doch auch hartnäckige Schädlinge dieser Art können früher oder später (hoffentlich) in die Knie gezwungen werden, das ist nun auch im Fall von Petya der Fall.

Key generieren
Denn wie BetaNews unter Berufung auf Bleeping Computer berichtet, hat ein Nutzer namens Leostone auf Twitter bekannt gegeben, dass es gelungen sei, Petya zu knacken. Leostone hat dazu auch eine Entschlüsselungs-Webseite erstellt, dort lässt sich der "Löse-Key" generieren.

Download: Petya Sector Extractor

Quelle

[vladi63]

Über 3 Millionen Server sind von aktuell aktiver Ransomware bedroht



Aktuelle Angriffe der Ransomware-Szene auf Server machen deutlich, dass auch beim professionelleren Rechner-Betrieb nicht wesentlich erfolgreicher auf die Sicherheit geachtet wird, als bei PCs in privaten Händen. Eine aktuell ausgenutzte Schwachstelle ist beispielsweise auf mindestens 3 Millionen Geräten vorhanden. In der vergangenen Woche wurde eine Ransomware entdeckt, die über eine Sicherheitslücke im Application-Server JBoss auf die angegriffenen Server gelangt. Sicherheits-Experten des Netzwerkausrüsters Cisco führten daraufhin einen Scan des Netzes aus und fanden bisher rund 3 Millionen Systeme, auf denen anfällige Varianten der Software betrieben werden.

Bei der Untersuchung wurden auch 2.100 Server gefunden, die offenbar bereits von der Malware infiltriert wurden. Auf diesen wurden erst einmal Backdoors installiert, die es den Angreifern jederzeit ermöglichen sollen, mit ihrer Erpressungs-Methode zuzuschlagen. Die betroffenen Systeme verteilen sich den Angaben zufolge auf etwa 1.600 verschiedene IP-Adressen. Besondere Häufungen fanden sich hier bei Schulen, Behörden und Luftfahrts-Unternehmen.

Dass besonders auch Bildungseinrichtungen betroffen sind, dürfte daran liegen, dass unsichere Varianten von JBoss als Basis des Verwaltungs-Systems Destiny dienten. Dabei handelt es sich um eine Software, die es beispielsweise Bibliotheken ermöglicht, den Verleih von Büchern und anderen Dingen zu managen. Deren Entwickler Follett Learning hat die Sicherheitslücke bereits behoben und auf dem aktuellsten Stand sorgt die Software nun auch dafür, dass Rechner, mit denen sie kommuniziert, überprüft und vorhandene Hintertüren geschlossen werden.

Ausmaß dürfte noch wachsen
Obwohl inzwischen also Gegenmaßnahmen eingeleitet wurden, könnte das Problem in der kommenden Zeit noch wesentlich größere Dimensionen annehmen. Denn es wurden bereits weitere Server-Anwendungen ausfindig gemacht, die Schwachstellen aufweisen, die von der fraglichen Malware ausgenutzt werden können. Die Server, auf denen diese laufen, wurden in der aktuellen Zählung zum Teil noch nicht berücksichtigt.

Angriffe auf Server haben sich für die Ransomware-Szene als durchaus lohnend herausgestellt - allerdings erfordern sie ein etwas anderes vorgehen als bei Privatkunden. Denn Grundsätzlich sind hier in der Regel Backups vorhanden, so dass der Angriff eines Krypto-Trojaners eigentlich ins Leere laufen würde. Bei konkreten Attacken geht es daher vor allem darum, dass die Betreiber zur Zahlung des Lösegeldes gebracht werden, um erst einmal sicherzustellen, dass das jeweilige System schnell wieder online geht. Ausfallzeiten können hier immerhin recht schnell einen finanziellen Schaden verursachen, der die geforderte Summe übersteigt. Das macht es aber erforderlich, zu einem möglichst guten Zeitpunkt zuzuschlagen, statt blind riesige Mengen an Rechnern zu infizieren, wie es bei Privatnutzern der Fall ist.

Quelle