04.04.2016

Petya-Ransomware kommt mit Fake-Bewerbung

verschlüsselt Master Boot Record und komplette Festplatte

Neben Locky hat es aktuell eine weitere Ransomware speziell auf deutsche Windows-Anwender abgesehen. Der neue Schädling Petya-Ransomware verschlüsselt nach derzeitigen Erkenntnissen zunächst den Master Boot Record des Systems und anschließend die komplette Festplatte. 

Fake-Bewerbung mit plausiblen Infos

Die Verteilung findet per Mail und Dropbox-Link statt. Diese Mails sind mittlerweile so professionell, plausibel und gezielt gestaltet, dass es selbst für erfahrene Anwender schwer wird, die Gefahr zu erkennen. Im aufgeführten Beispiel wurde eine Bewerbung einschließlich direkter Ansprache des Personalverantwortlichen (!) an ein entsprechendes Bewerbungspostfach gesendet.

Content-Filter-Systeme werden ausgehebelt

Da der Mail-Link auf ein https-Ziel führt und die Verbindung deshalb in einer verschlüsselten Session stattfindet, können Content-Filter-Systeme, die den Download von schädlichen Dateien verhindern, ggf. umgangen werden. Da die Problematik, Traffic Content Filtering auf https-Verbindungen anzuwenden, den Rahmen des Artikels übersteigen würde, kann darauf an dieser Stelle nicht näher eingegangen werden.

Trojaner als .exe-Datei braucht erhöhte Rechte

Hinter dem Link verbergen sich, wie schon in der Mail angekündigt, ein Bewerbungsfoto und eine Datei „Bewerbungsmappe-gepackt.exe“. Spätestens bei *.exe sollten alle Alarmglocken läuten. Durch das Herunterladen und Ausführen der .exe-Datei wird der Trojaner auf dem System ausgeführt. Hierfür werden erhöhte Rechte (UAC-Meldung) benötigt.

Sobald die Installation startet, beginnt Petya mit der Arbeit. Die Infizierung läuft in zwei Phasen ab. Zunächst scheint eine Datenrettung noch möglich zu sein. Nach dem Neustart ist eine Rettung nicht mehr ohne Weiteres möglich.

Schritt 1: Master Boot Record wird verschlüsselt

Im ersten Schritt manipuliert Petya „nur“ den Master Boot Record (MBR) des Rechners. In diesem speziellen Bereich der Festplatte sind alle Informationen hinterlegt, die für den Start des Betriebssystems benötigt werden (Bootloader). Zudem ist dort in einer Partitionstabelle definiert, wie die Partitionen des Datenträgers aufgeteilt sind (Partition Table).

Nach Bluescreen und automatischem Neustart geht nichts mehr

Die Verschlüsslung des MBR erfolgt laut der Malware-Analystin hasherezade vom Antimalware-Hersteller Malwarebytes über ein vergleichsweise einfaches XOR mit einem festen Wert als Schlüssel (7). Wenn das System an dieser Stelle stromlos gemacht wird bzw. die Festplatte ohne Neustart ausgebaut werden kann, lässt sich der Schaden noch relativ leicht begrenzen. Die Festplatte kann z.B. extern (nicht als Boot-Partition!) eingebunden werden und dadurch eine Datensicherung ermöglichen. Verschiedene Quellen berichten, dass sich der MBR mit Wiederherstellungstools reparieren bzw. neu erstellen lässt.  

Die Entwickler der Schadsoftware haben allerdings dafür gesorgt, dass sich der Rechner kurz nach der Infizierung und dem Versuch, den MBR zu verschlüsseln, mit einem Crash (Bluescreen) verabschiedet und automatisch einen Neustart durchführt. Der MBR wurde so manipuliert, dass die Schadsoftware zu Schritt 2 der Infizierung übergeht und der schädliche Ransomware-Loader statt des eigentlichen Betriebssystems gestartet wird. 

Schritt 2: Verschlüsselung der Festplatte als vorgetäuschte CHKDSK-Überprüfung

Nach dem erzwungenen Systemcrash und dem Reboot beginnt die eigentliche Verschlüsselung des Rechners, getarnt als vorgetäuschte CHKDSK-Überprüfung des Dateisystems.

Es gibt Hoffnung: Nicht alles ist verschlüsselt

Nach aktuellen Erkenntnissen wird nicht die komplette Festplatte verschlüsselt. Mit diversen Analysetools (Hex-Editoren) konnten verschiedene AV-Hersteller weiterhin Strings mit lesbarem Inhalt finden. Es besteht also die Hoffnung, dass eine Wiederherstellung der verschlüsselten Daten in näherer Zukunft möglich ist.

Systeme mit UEFI-Boot kommen mit blauem Auge davon

Tests von heise Security deuten darauf hin, dass Systeme, die per UEFI gebootet werden, ggf. mit einem blauen Auge davonkommen. Hier werden wahrscheinlich „nur“ die kompletten Boot-Informationen zerstört und deshalb ein Neustart des Rechners verhindert. Die Verschlüsselungsphase der Schadsoftware wird dadurch nicht ausgeführt. Das System startet nicht mehr. Die Festplatte kann extern angeschlossen und die darauf befindlichen Daten können gesichert werden.

Lösegeldforderung mit Schritt-für-Schritt-Anleitung

Nachdem die Fake-CHKDSK-Überprüfung durchgelaufen ist, erscheint statt des Windows-Logos eine – wie sollte es auch anders sein – Bitcoin-Lösegeldforderung inklusive Schritt-für-Schritt-Anleitung.

Kriminelles „Mahnwesen“ droht mit Verdoppelung des Lösegelds

Die Anleitung verweist auf eine individuelle TOR-Seite und eine persönliche ID für die Zahlung des Lösegelds. Nach der erfolgreichen Zahlung wird angeblich ein persönliches Passwort zur Entschlüsselung des Computers übermittelt.  

Deutsche Sicherheitsexperten raten dringend von einer Zahlung ab. Dadurch werden die kriminellen Entwickler der Schadsoftware unterstützt und erhalten finanzielle Mittel, um weitere Viren zu entwickeln. Es gibt außerdem keine Garantie, dass die Entschlüsselung der Daten auch tatsächlich erfolgt oder dass sich trotz der erfolgreichen Entschlüsselung nicht noch weitere unentdeckte Schädlinge oder Hintertüren auf dem System befinden, die innerhalb kürzester Zeit erneut Lösegeld fordern. Bei einer Infizierung des Systems sollte grundsätzlich eine komplette Neuinstallation durchgeführt werden. 

Die TOR-Adresse aus der Screen-Anleitung führt nach Captcha-Eingabe auf eine weitere Übersichtsseite. Dort wird mit einer Verdopplung des Lösegelds gedroht, falls nicht innerhalb eines bestimmten Zeitraums gezahlt wird. Inwiefern dieser Countdown mit der tatsächlichen Lösegeldhöhe zusammenhängt, konnte noch nicht näher überprüft werden.

Fünf Schritte zum Decryption-Passwort, die Sie nicht ausprobieren sollten

Die Generierung des Passworts zur Entschlüsselung soll in fünf Schritten stattfinden.

Schritt 1: Persönliche ID als Erkennungszeichen

Im ersten Schritt wird die persönliche ID eingetragen. Diese wird im weiteren Verlauf als primäres Erkennungszeichen verwendet.

Schritt 2: 350 € Lösegeld in Bitcoins

Im zweiten Schritt sollen Bitcoins für die Zahlung gekauft werden. Hier ist auch die Lösegeldhöhe definiert: Im aktuellen Fall handelt es sich um ca. 0,9 Bitcoins, was nach derzeitigem Wechselkurs ca. 350 € entspricht.

Schritt 3: Nutzerfreundliche Zahlungsoptionen mit „Bestellübersicht“

Im dritten Schritt wird die eigentliche Bitcoin Transaction beschrieben. An dieser Stelle werden auch noch einmal der Bitcoin-Betrag und die Adresse des Empfängers genannt.

Schritt 4: Auf Zahlungseingang warten oder „Support“ kontaktieren

Im vierten Schritt muss auf die Bestätigung des Zahlungseingangs gewartet werden. Laut Infoseite erfolgt diese Bestätigung manuell und wird i.d.R. innerhalb von ein bis zwölf Stunden abgewickelt. Falls es hierbei Probleme gibt, kann der praktische Support-Button genutzt werden. Was sich dahinter wirklich verbirgt, ist bisher nicht näher bekannt. 

Schritt 5: Entschlüsselungs-Key schließt den Deal

Im letzten Schritt soll die Übermittlung des Entschlüsselungs-Keys erfolgen. Dieser muss dann laut Infoseite in das vorgesehene Feld am gesperrten Rechner eingegeben werden.  

Anschließend soll der verschlüsselte MBR wiederhergestellt werden, das Betriebssystem booten und die verschlüsselten Dateien wieder entschlüsselt werden. Ob dieser letzte Schritt tatsächlich stattfindet oder die Kriminellen mit dem Geld davonziehen, lässt sich nicht generell sagen.

Bisher nur Windows-Systeme betroffen

Von der Schadsoftware betroffen sind aktuell nur Windows-Systeme. Die heruntergeladene .exe-Datei enthält laut ersten Auswertungen und Tests alle benötigten Komponenten. Eine Internetverbindung zum Herunterladen weiterer Dateien, wie im Fall von Locky, wird nach derzeitigem Kenntnissstand nicht benötigt.

Kein Virenscanner durchschaut die Daten hinter dem Dropbox-Link

Erschreckend war am Erscheinungstag der Schadsoftware das Ergebnis von Virustotal: 0 von 56 Scannern haben hinter dem Dropbox-Link und der dazugehörigen Datei etwas Schadhaftes vermutet. Bei Locky hatten damals anfänglich zumindest 3 von 56 Scannern gemeckert.  

Es haben also sowohl die Erkennungsdaten als auch die verhaltensgesteuerte Schädlingserkennung versagt. Auch spezielle Malware-Lösungen, die in den letzten Wochen auf Ransomware angepasst wurden, konnten die Infizierung nicht verhindern.

Userrechte checken: Wer braucht wirklich erhöhte Rechte?

An dieser Stelle erneut der Grundsatz: Die schwächste Komponente sitzt vor dem Bildschirm. Wenn der Anwender die benötigten Rechte hat und auf „Ausführen“ klickt, hilft meist auch kein AV mehr…

Daniel Heberlein
Consultant

Unsere Blogs