Ransomware Petya

Die neue Ransomware wird über Dropbox verteilt und blockiert Windows Rechner.

Anstatt bestimmte Datei-Typen zu verschlüsseln, wird der Master-Book-Record (MRB) der Festplatte manipuliert.
Diese Manipulation verhindert den Start des Rechners (Bluescreen), stattdessen erscheint ein Totenschädel mit der Aufforderung Lösegeld zu bezahlen.

bilder

Die Verschlüsselung erfolgt anscheinend in zwei Phasen, wobei die Datenrettung vor dem Neustart noch möglich zu sein scheint. Als erstes verschlüsselt der Trojaner den MBR, dieser Schaden hält sich noch in Grenzen. Es muss jedoch ein Neustart verhindert werden. In der zweiten Phase erzeugt Petya einen Bluescreen um einen Neustart zu erzwingen. Nach dem Reboot werden die Dateisysteme verschlüsselt. 

Verbreitung über Dropbox

Die Erpresser haben sich wieder eine kreative Art der Verbreitung ausgedacht. Es werden Bewerbungen an Unternehmen per E-Mail verschickt, mit dem Hinweis, dass die für das E-Mail zu großen Bewerbungsunterlagen in der Dropbox hinterlegt sind.
Der Krypto-Trojaner steckt in der Datei „Bewerbungsmappe-gepackt.exe“, die sich als selbstextrahierendes Archiv ausgibt.

petya1

Was tun?

Falls Sie so eine Mail erhalten, löschen Sie diese sofort und öffnen Sie KEINESFALLS die Dropbox-Datei!
Ist Petya bereits auf Ihrem Rechner, schalten Sie Ihren Rechner umgehend aus oder ziehen Sie den Stecker, um eine weitere Verschlüsselung zu stoppen.

Heben Sie die betroffenen Datenträger auf jeden Fall auf. Oft wird nach einiger Zeit eine Möglichkeit bekannt, wie die Dateien gerettet werden können.

Falls Sie den Verdacht haben den Tojaner ausgeführt zu haben, sollten Sie Ihr System nur noch von einem Rettungsmedium booten.

Für nähere Informationen oder Unterstützung, kontaktieren Sie uns bitte unter 01 252440!
 

Weiter Infos:

Erpressungs-Trojaner Petya riegelt den gesamten Rechner ab
Petya: Den Erpressungst-Trojaner stoppen, bevor er die Festplatten verschlüsselt

Virenschutz - Wichtige Verhaltensregeln PDF

Zurück