Petya Crypto-Ransomware überschreibt MBR und sperrt Nutzer aus

Originalbeitrag von Jasen Sumalapao

Als ob das Verschlüsseln von Dateien und deren Geiselnahme nicht schon genug wären, setzen Cyberkriminelle, die Crypto-Ransomware verbreiten, noch eines drauf, verursachen so genannte Blue Screen of Death (BSoD), und setzen ihre Erpressernachricht an den Systemstart, bevor das Betriebssystem geladen wird. Dieses Vorgehen umfasst die Routine einer neuen Crypto-Ransomware Variante namens “Petya” (von Trend Micro als RANSOM_PETYA.A erkannt).


Bild 1. Petyas roter Totenkopf

Die Schadsoftware kann nicht nur den Master Boot Record (MBR) des betroffenen Systems überschreiben, um den Nutzer auszusperren, sondern wird auch über einen legitimen Cloud-Speicherdienst (im aktuellen Fall Dropbox) überbracht.

Es ist nicht das erste Mal, dass eine Schadsoftware einen legitimen Service für die eigenen Zwecke missbraucht, doch ist dies das erste Mal (seit langem), dass es sich dabei um Crypto-Ransomware handelt. Auch stellt dies eine Abweichung von der üblichen Vorgehensweise dar, nämlich eine bösartige Datei einer Mail anzuhängen oder über infizierte Sites mit Exploit Kit zu gehen.

Infektionsroutine

Petya wird immer noch über Mail verteilt. Die Opfer erhalten eine Mail, die nach einem geschäftlichen Schreiben aussieht, in dem ein Bewerber eine Stelle in einem Unternehmen sucht. Der Empfänger erhält einen Hyperlink zu einem Dropbox-Speicher, wo er angeblich den Lebenslauf des Bewerbers herunterladen kann.

In einem der von Trend Micros Sicherheitsforschern analysierten Samples, enthielt das Dropbox-Verzeichnis, auf das der Link zeigte, zwei Dateien: eine sich selbst extrahierende ausführbare Datei, den vorgeblichen Lebenslauf, und ein Foto des „Bewerbers“. Letzteres ist ein Foto, das wahrscheinlich ohne Erlaubnis der Fotografen verwendet wird.


Bild 2. Inhalte des Dropbox-Verzeichnisses

Die ausführbare Datei legt einen Trojaner auf dem System ab. Dieser machterst die AV-Programme unschädlich, bevor die Petya-Ransomware heruntergeladen und ausgeführt wird.

Infektionssymptome

Petya überschreibt den MBR der gesamten Festplatte und verursacht einen Crash des Windows-Systems sowie einen Blue Screen. Versucht der Nutzer seinen PC neu zu booten, so verhindert der modifizierte MBR dies und präsentiert stattdessen den Totenkopf sowie eine Lösegeldforderung. Auch verhindert der MBR den Neustart im Safe Mode.

Der Nutzer erhält Anleitungen, was zu tun ist, genauso wie im Fall jeder anderen derzeitigen Crypto-Ransomware: eine Liste mit Forderungen, einen Link zum Tor Project und Anweisungen, wie die Zahlung zu erfolgen hat.

Bild 3.Petyas Anweisungen zur Zahlung des Lösegelds und Entschlüsselung

Die Höhe des Lösegelds beträgt derzeit 0.99 Bitcoins (BTC) oder 431 $, wobei mit der Verdoppelung der Summe gedroht wird, sollte der Zahlungstermin nicht eingehalten werden.

Bild 4. Petyas Deep Web-Site

Endpoint-Lösungen wie Trend Micro™ Security, Smart Protection Suites und Worry-Free Business Security können Endanwender und Unternehmen vor dieser Bedrohung schützen, denn sie erkennen die bösartigen Dateien und Mail-Nachrichten und blocken alle damit zusammenhängenden bösartigen URLs.

SHA1s für die damit zusammenhängenden Dateien:

  • 39B6D40906C7F7F080E6BEFA93324DDDADCBD9FA
  • B0C5FAB5D69AFCC7FD013FD7AEF20660BF0077C2
  • 755f2652638f87ab517c608a363c4aefb9dd6a5a

Update:

Nachdem Trend Micro Dropbox über die bösartigen Dateien, die der Service hostet informierte, hat der Anbieter bereits reagiert und die fragliche Datei entfernt sowie auch die weiteren Links, die dieselbe Datei umfassten. Folgende Erklärung hat Dropbox herausgegeben:

Wir nehmen jeden Hinweis auf den Missbrauch der Dropbox-Plattform sehr ernst und haben ein eigenes Team, das rund um die Uhr darüber wacht, dass Dropbox nicht missbraucht wird. Obwohl dieser Angriff die Dropbox-Sicherheit in keiner Weise kompromittiert hat, haben wir Nachforschungen angestellt und Prozeduren bereitgestellt, um proaktiv jede betrügerische Aktivität zu stoppen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*