Telefonnummer Durchwahl

03901/853-
611-Bürobedarf
612-Technik
651-Möbel

05.04.2016

Erpressungs-Trojaner Petya: Neue Infektionswelle rollt an...

 

Wie der Antivirenhersteller G Data berichtet, bricht momentan eine neue Welle von Petya-Infektionen über Deutschland herein. Nachdem Dropbox zunächst die angeblichen Bewerbungsunterlagen, über die sich der Trojaner verbreitet, gelöscht hatte und somit der Phishing-Link zu der Datei nicht mehr funktionierte, gibt es nun einen neue Infektionsvektor. Wieder handelt es sich um angebliche Bewerbungsunterlagen, die auch diesmal bei Dropbox gehostet werden.

Bis jetzt wurde die Verschlüsselung nicht geknackt
Laut G Data generiert Petya nach Ausführung der infizierten Datei zunächst einen Schlüssel. Mit diesem 16 Zeichen lange Entschlüsselungscode lassen sich die als Geisel genommenen Daten wiederherstellen. Der Code wird später wieder vom System gelöscht. Zuerst verschlüsselt der Trojaner diesen Schlüssel allerdings mit dem Elliptic Curve Integrated Encryption Scheme (ECIES) und erzeugt so den Code, den er dem Opfer anzeigt und den dieses den Erpressern schicken muss, um den eigentlichen Schlüssel zu erhalten.

UEFI-Systeme lassen sich retten
Die Sicherheitsforscher bestätigen die Erkenntnisse von heise Security, dass nur Systeme mit MBR verschlüsselt werden. Hier wird zusätzlich die Master File Table (MFT) mit einem SALSA20-Schlüssel verschlüsselt, der danach gelöscht wird. Petya erzeugt außerdem eigenen MBR-Code, um seinen Sperrbildschirm anzuzeigen. Bei Systemen, die über UEFI booten, wird ebenfalls der MBR-Bereich überschrieben, was den Bootprozess aber nicht behindert. Außerdem zerstört der Trojaner die GPT-Partitionstabelle, was den Boot des Sytems verhindert, die Platten allerdings unbehelligt lässt. Mit Reparaturwerkzeugen kann man also die GPT wiederherstellen und das System retten.



Quelle

IT-News


Office News