Petya: Den Erpressungs-Trojaner stoppen, bevor er die Festplatten verschlüsselt
Die Ransomware Petya zielt auf deutschsprachige Opfer und sorgt dafür, dass deren Rechner nicht mehr starten. Der Trojaner verschlüsselt außerdem die Festplatten, das kann man aber verhindern, wenn man ihn rechtzeitig stoppt.
Nach ersten Analysen von Sicherheitsforschern scheint der Erpressungstrojaner Petya tatsächlich die Daten auf betroffenen Systemen zu verschlüsseln. Allerdings passiert dies wohl in zwei
Phasen, wobei eine Datenrettung zuerst noch möglich zu sein scheint, nach einem Neustart des Systems ist dies dann aber nicht mehr ohne weiteres gegeben. Ärgerlicherweise zerschießt der Trojaner wohl auch die zum Booten benötigten Informationen auf Systemen, die er nicht erfolgreich verschlüsseln kann.
Schritt Eins: Simple Verschlüsselung des MBR
Zunächst verschlüsselt Petya nur den Master Boot Record (MBR) über ein einfaches XOR mit einem festen Wert. An dieser Stelle lässt sich der Schaden noch relativ einfach begrenzen. Unter anderem kann man die Festplatten extern einbinden und Daten sichern. Betroffene Nutzer berichten auch, dass sich an diesem Punkt der MBR mit Wiederherstellungs-Tools reparieren lässt. Danach bootet das System dann wieder normal. Allerdings muss man dazu wissen, dass man sich gerade infiziert hat und einen Neustart verhindern.
Schritt Zwei: Verschlüsselung der Daten
Im nächsten Schritt erzeugt der Trojaner nämlich einen Bluescreen, um das Opfer zum Neustart seines Systems zu zwingen. Nach dem Reboot läuft ein vorgetäuschtes chkdsk – das verschlüsselt dann die Dateisysteme. Danach kann man nicht mehr direkt auf die Partitionen der Festplatte zugreifen. Allerdings scheint auch hier nicht gesamte Festplatte verschlüsselt zu sein. Wenn man etwa mit einem Hex-Editor darauf schaut, finden sich nach wie vor Strings mit lesbarem Text. Mit Hilfe von speziellen Forensik-Tools lassen sich wahrscheinlich noch Daten retten.
Was ist beim Booten über UEFI?
Versuche von heise Security mit Systemen, die per UEFI booten, deuten darauf hin, dass der Trojaner hier unter Umständen die Bootinformationen zerschießt, so dass der Rechner gar nicht mehr startet. Das scheint allerdings auch die zweite Petya-Phase, und damit die Verschlüsselung der Dateisysteme, zu verhindern.
Keine Panik!
Eine vollständige Analyse der Petya-Aktivitäten durch verschiedenste Sicherheitsforscher ist noch im Gange. Genauere Informationen dazu, was der Trojaner verursacht und wie man welche Daten retten kann, werden höchstwahrscheinlich noch folgen. Es lohnt sich deshalb, betroffene Datenträger aufzubewahren – in der Hoffnung, dass später ein Rettungstool auftaucht. Jedenfalls sollte man nach einem Bluescreen sein System nur noch von einem Rettungsmedium booten, falls man den Verdacht hat, den Trojaner ausgeführt zu haben oder gar eine entsprechende Warnmeldung bekommen hat.
Das Thema Krypto-Trojaner wird in der aktuellen c’t 7/16 auf zwölf Seiten behandelt. Vier Artikel erklären nicht nur die Ursachen der aktuellen Trojaner-Flut, sondern auch, wie Nutzer sich und ihre Daten richtig schützen. Unter anderem behandelt ein Artikel, was man noch tun kann, wenn die eigenen Daten bereits verschlüsselt worden sind.
Lesen und sehen Sie dazu auch bei c’t: Was können Opfer von Erpressungstrojanern tun?
Quelle: http://heise.de/-3153388