Boerse.AM (Boerse.AI/Boerse.IM/Boerse.KZ/Boerse.SX/Boerse.TW) - Einzelnen Beitrag anzeigen - Über 3 Millionen Server sind von aktuell aktiver Ransomware bedroht

**vladi63** · 01.04.16, 20:40

Erpressung: Neue Petya-Welle; Systemsperre bisher nicht knackbar

Die Ransomware Petya, die ganze Systeme lahmlegen kann, verbreitet sich laut einem Bericht aktuell in einer neuen Welle auf Systemen in Deutschland. Der Mechanismus, mit dem der Erpressungstrojaner Systeme unzugänglich macht, hält Knackversuchen bisher Stand.

Link gelöscht, neuer Link kreiert
Unter der Überschrift Erpressungstrojaner: Ransomware Petya riegelt Rechner ganz ab hatten wir genau vor einer Woche darüber berichtet, dass eine neue Ransomware im deutschsprachigen Raum aktiv wurde, die die Nutzung von betroffenen Systemen ganz verhindert. Die Verbreitung der Schadsoftware war über einen Dropbox-Link erfolgt, über den anvisierte PC-Nutzer angebliche Bewerbungsunterlagen herunterladen sollten. Die Vorgehensweise legt nah, dass es die Angreifer mit ihrer Ransomware vor allem auf Unternehmen abgesehen haben.

Wie jetzt der Antivirenhersteller G Data mitteilt, will man aktuell eine neue Welle von Infektionen mit Petya registriert haben, die Computersysteme in Deutschland überrollt. Dropbox hatte zwar nach Bekanntwerden der Verbreitung den Phishing-Link zu der Datei lahmgelegt, der Trojaner wurden aber einfach wieder bei dem Clouddinest gehostet - und das auch mit derselben Tarnung als Bewerbungsunterlage. Die Sicherheitsexperten liefern dabei auch Screenshots der E-Mail, mit der die Opfer auf diese neue Seite gelockt werden.

Dateizugang gesperrt
Wie G Data außerdem in einer eingehenden Analyse festgestellt haben will, erfolgt die Abriegelung der Festplatten durch Petya in zwei Stufen. Wird die exe.-Datei ausgeführt, führt dies zunächst zu einem Bluescreen. Zu diesem Zeitpunkt manipuliert die Schadsoftware die Master Boot Record (MBR) des Systems und übernimmt so Kontrolle über den Boot-Prozess. Nach einem Neustart gaukelt Petya dann mit einer scheinbar harmlosen Meldung vor, der Nutzer müsse einen System-Check durchführen.

Wie G Data betont, geht der Zugang zu den Festplatten des Systems erst nach Bestätigung dieses Schrittes verloren. Außerdem habe man bisher keine Hinweise darauf gefunden, dass Petya Festplatten tatsächlich verschlüsselt. Vielmehr scheine es demnach so, als ob die Angreifer einen Weg gefunden hätten, den \"Zugang zu Dateien zu blockieren\", die einzelnen Inhalte würden aber offenbar nicht verschlüsselt. Jetzt müssten die Experten weitere Analysen durchführen, um den neuen Ransomware-Typus noch besser zu verstehen.

Quelle

01.04.16, 20:40	#3 Top
Threadstarter Mitglied seit: Dec 2014 Beiträge: 1.602	vladi63 Banned Über 3 Millionen Server sind von aktuell aktiver Ransomware bedroht Erpressung: Neue Petya-Welle; Systemsperre bisher nicht knackbar Die Ransomware Petya, die ganze Systeme lahmlegen kann, verbreitet sich laut einem Bericht aktuell in einer neuen Welle auf Systemen in Deutschland. Der Mechanismus, mit dem der Erpressungstrojaner Systeme unzugänglich macht, hält Knackversuchen bisher Stand. Link gelöscht, neuer Link kreiert Unter der Überschrift Erpressungstrojaner: Ransomware Petya riegelt Rechner ganz ab hatten wir genau vor einer Woche darüber berichtet, dass eine neue Ransomware im deutschsprachigen Raum aktiv wurde, die die Nutzung von betroffenen Systemen ganz verhindert. Die Verbreitung der Schadsoftware war über einen Dropbox-Link erfolgt, über den anvisierte PC-Nutzer angebliche Bewerbungsunterlagen herunterladen sollten. Die Vorgehensweise legt nah, dass es die Angreifer mit ihrer Ransomware vor allem auf Unternehmen abgesehen haben. Wie jetzt der Antivirenhersteller G Data mitteilt, will man aktuell eine neue Welle von Infektionen mit Petya registriert haben, die Computersysteme in Deutschland überrollt. Dropbox hatte zwar nach Bekanntwerden der Verbreitung den Phishing-Link zu der Datei lahmgelegt, der Trojaner wurden aber einfach wieder bei dem Clouddinest gehostet - und das auch mit derselben Tarnung als Bewerbungsunterlage. Die Sicherheitsexperten liefern dabei auch Screenshots der E-Mail, mit der die Opfer auf diese neue Seite gelockt werden. Dateizugang gesperrt Wie G Data außerdem in einer eingehenden Analyse festgestellt haben will, erfolgt die Abriegelung der Festplatten durch Petya in zwei Stufen. Wird die exe.-Datei ausgeführt, führt dies zunächst zu einem Bluescreen. Zu diesem Zeitpunkt manipuliert die Schadsoftware die Master Boot Record (MBR) des Systems und übernimmt so Kontrolle über den Boot-Prozess. Nach einem Neustart gaukelt Petya dann mit einer scheinbar harmlosen Meldung vor, der Nutzer müsse einen System-Check durchführen. Wie G Data betont, geht der Zugang zu den Festplatten des Systems erst nach Bestätigung dieses Schrittes verloren. Außerdem habe man bisher keine Hinweise darauf gefunden, dass Petya Festplatten tatsächlich verschlüsselt. Vielmehr scheine es demnach so, als ob die Angreifer einen Weg gefunden hätten, den \"Zugang zu Dateien zu blockieren\", die einzelnen Inhalte würden aber offenbar nicht verschlüsselt. Jetzt müssten die Experten weitere Analysen durchführen, um den neuen Ransomware-Typus noch besser zu verstehen. Quelle