Schutz vor Erpresser-Trojaner

Petya Ransomware: Infektion und Datenverlust verhindern

Experten untersuchen den Erpresser-Trojaner Petya und zeigen, wie sich ein Datenverlust direkt nach einer Infektion mit der Ransomware verhindern lässt.

© wk1003mike / shutterstock

© © wk1003mike / shutterstock

Gefährliche Trojaner grassieren und erpressen Nutzer mit einer Verschlüsselung ihrer Daten um mehrere Hundert Euro.

Mittlerweile gibt es erste Analysen zur Petya-Ransomware, die ganze Festplatten verschlüsselt und Windows-Rechner lahmlegt. Daraus lassen sich Maßnahmen ableiten, wie Sie einen Datenverlust nach einer Infektion mit dem Erpresser-Trojaner verhindern können. Wie das Sicherheitsunternehmen Kaspersky schreibt, sorgt Petya in zwei Schritten für eine Verschlüsselung privater Daten und gegebenenfalls das Lahmlegen des Rechners. Zwischen diesen beiden Schritten haben Betroffene ein kleines Zeitfenster, ihre Daten zu retten.

Im ersten Arbeitsschritt der Petya-Ransomware wird die Partitionstabelle der Festplatte verschlüsselt, anschließend deren Master Boot Record überschrieben. Ein wenig später kommt es zu einem Blue Screen, der den Nutzer zu einem Neustart zwingt. Erst dann folgt im zweiten Schritt die Verschlüsselung der Daten. Dabei simuliert Petya vor dem Bootvorgang des Betriebssystems einen vermeintlichen Festplatten-Scan (CHKDSK), der dem Nutzer vorgaukeln soll, die Festplatte werde auf Fehler überprüft.

Stattdessen verschlüsselt der Trojaner jedoch alle Dateien, die er in die Finger bekommt. Wird das System dann hochgefahren, erscheint eine Meldung, die Daten seien verschlüsselt und würden erst wieder freigegeben, wenn das Opfer eine Zahlung von rund 400 US-Dollar leistet. Scheitert vorher das Überschreiben des Master Boot Records, wird dieser beschädigt und das System unbrauchbar.

Petya: Daten retten

Sollten Sie den Verdacht haben, Ihr Rechner könnte sich mit Petya infiziert haben - schalten Sie den Rechner nach dem Blue Screen aus. Fahren Sie ihn keineswegs wieder hoch. Anschließend können Sie die Festplatte - gegebenenfalls mit Hilfe eines versierteren Nutzers aus dem Freundeskreis oder der Familie - an einem anderen PC anschließen und auf die Daten zugreifen. Scheitert dies, könnten Recovery-Tools die noch nicht verschlüsselten Daten (am anderen PC) retten. Empfehlenswert sind hier etwa FileScavenger, Recuva oder Easeus Data Recovery. Dann kann es aber sein, dass Dateiinhalte zwar gefunden werden, Informationen über Dateinamen und -typen jedoch einzeln und manuell wiederhergestellt werden müssen.

Petya: Infektion vermeiden

Ist Ihr System noch nicht infiziert, sollten Sie erhöhte Vorsicht walten lassen. Bisher ist Petya vorrangig in Unternehmen in Form vermeintlicher Bewerbungsunterlagen aufgetreten. Dabei wurden ausführbare Dateien mit Namen wie etwa "Bewerbungsmappe-gepackt.exe" über Dropbox-Links verschickt. Dabei soll es sich laut Absender um ein selbst entpackendes Archiv (beispielsweise ZIP oder RAR) handeln. In Wirklichkeit aber wartet nach dem Ausführen der Datei nur der Trojaner darauf, seiner Arbeit nachzugehen.

Ist Windows so eingestellt, dass Dateinamenerweiterungen nicht angezeigt werden, und der Virenscanner nicht auf dem aktuellen Stand, kann das Opfer leicht darauf reinfallen. Gegen eine Infektion mit Petya hilft also wie eh und je ein wacher Verstand und ein mit aktuellen Updates versehenes System. Öffnen Sie Dateien fremder Absender nur, wenn Sie diese wirklich erwarten oder zweifelsfrei eine seriöse Quelle ausmachen können.

Lesetipp: Antivirus-Test 2016

Im Zweifel antworten Sie fremden Bewerbern, die Dateien als reguläres Zip-Archiv erneut einzureichen. Doch Vorsicht: Bei entsprechender Windows-Einstellung kann sich auch hinter einer vermeintlichen "zip"- eine "exe"-Datei verbergen - nämlich dann, wenn das System die letzte Endung bei einem Dateinamen wie "bewerbung.zip.exe" ausblendet. Um solche Risiken zu minimieren, öffnen Sie (unter Windows 7) die Systemsteuerung, klicken auf "Ordneroptionen", oben auf "Ansicht" und entfernen das Häkchen bei "Erweiterungen bei bekannten Dateitypen ausblenden". Die Ordneroptionen finden Sie auch (bei Windows 10 etwa) im Windows Explorer unter "Ansicht" und "Optionen".

Zusätzlich können Sie Dateien vor dem Öffnen auch auf dem System speichern und von einem Online-Virenscanner untersuchen lassen. Die Website virustotal.com beispielsweise nutzt über 50 Virenscanner, um Dateien auf Schädlinge zu überprüfen. Nehmen Sie sich im Zweifel die Zeit. Das ist immer noch angenehmer, als plötzlich nicht mehr auf seinen Rechner zugreifen zu können.

Mehr zum Thema

Sicherheitslücken am PC
Polizei warnt vor Spam

Cyberkriminelle nutzen die Angst um Locky, um weitere Trojaner zu verbreiten. Die Polizei warnt vor Spam-Mails mit einem „BKA Locky Removal Kit“.
© wk1003mike / shutterstock
Ransomware

Auf großen Websites wie etwa von BBC, MSN, der NFL, New York Times und mehr lauern Erpresser-Trojaner (Ransomware), die Lücken in Flash ausnutzen.
Adobe Flash Player
Neue Version

Im Flash Player steckt eine gefährliche Sicherheitslücke. Das neue Update behebt das Leck. Die aktuellen Downloads für Firefox, Chrome und Internet…
Symbolbild für Internet-Sicherheit und Spionage
Erpressungs-Trojaner

Experten sind auf einen Erpressungs-Trojaner gestoßen, der nicht nur Daten verschlüsselt, sondern auch Passwörter stiehlt. So schützen Sie sich.
© wk1003mike / shutterstock
Sicherheit

Wer sich einen Erpressungs-Trojaner (Ransomware) eingefangen hat, bekommt mit Glück das passende Tool zur Entschlüsselung seiner Daten.