Ransomware

Petya-Varianten und "Raubkopien

Inhalt
  1. Petya, NotPetya und Co. - Erpressungs-Trojaner im Überblick
  2. Petya-Varianten und "Raubkopien

Vier offizielle Petya-Varianten

Nach dem Original Petya erschienen noch drei weitere offizielle Varianten. In Anlehnung an die Hintergrundfarbe des Warnhinweises werden die verschiedenen Varianten wie folgt bezeichnet: 

  • Red Petya (Version 1.0) - attackiert die Master File Table
  • Green Petya (Version 2.0) - attackiert die Master File Table oder einzelne Dateien
  • Green Petya (Version 2.5) - technisch optimierte Variante von Version 2.0
  • Goldeneye (Version 3.0) - attackiert seit Dezember 2016 MFT und Dateien und umgeht dabei die Windows Benutzerkontensteuerung UAC

Die Gefahr durch diese Petya-Versionen hat sich mittlerweile gelegt. Überraschend hat JSC den Hauptschlüssel (Master Key) für Petya Anfang Juli 2017 veröffentlicht. Mit seiner Hilfe lassen sich alle gekaperten Daten wiederherstellen. Wird Ihr PC jetzt noch von Petya befallen, ist das nicht mehr als ein lästiges Problem.

Raubkopien der Erpresser-Software

Dummerweise hat Petyas Erfolg andere Kriminelle auf den Plan gerufen. Prompt sind bislang (mindestens) zwei Raubkopien von Petya aufgetaucht, die mit neuen, bislang unbekannten Schlüsseln arbeiten:

  • PetrWrap basiert auf Green Petya
  • Eternal Petya (auch: NotPetya, ExPetr) basiert auf GoldenEye und wurde beim Angriff in der Ukraine verwendet

Andere Petya-Nachfolger lehnen sich nur im Namen und/oder Erscheinungsbild an Petya an, sind technisch aber anders aufgebaut, zum Beispiel SatanaRansomware und Petya+. 

Besonders problematisch ist Eternal Petya, bei dem sich die Entschlüsselung der MFT nicht rückgängig machen lässt. Scheinbar wurde die Software entsprechend beschnitten. Geht es nach dem Namen - „Eternal“ steht für die Ewigkeit - geschah das mit Absicht.

Petya-Kopie Petrwrap

© Malwarebyes Blog

Erkennen können Sie Petyas Erben (hier: PetrWrap) am fehlenden Totenkopf. Nur das Layout des „Erpresserbriefs“ ist weitgehend gleich geblieben.

Fazit

Petya war ein Fluch für jeden Nutzer, dessen Daten verschlüsselt wurden. Dass die Original-Petyas mittlerweile keine große Bedrohung mehr sind, heißt allerdings nicht, dass die Gefahr vorüber ist. Zu leicht lässt sich der Petya-Code verändern und in geänderter Form Benutzern unterschieben. Seien Sie deshalb weiterhin vorsichtig beim Öffnen von Dateien unbekannter Herkunft. 

Tipp: Gehen Sie nie auf die Lösegeld-Forderungen von Ransomware-Kriminellen ein. Es passiert nämlich selten bis gar nicht, dass Sie für Ihr Geld die erwartete Gegenleistung erhalten. Achten Sie darauf, dass Sie stets ein Backup Ihrer Daten auf einem nicht permanent mit dem PC verbundenen Datenträger zur Hand haben. Im Schadensfall können Sie dann verhältnismäßig leicht zu einem sauberen Systemzustand zurückkehren.

Mehr zum Thema

© wk1003mike / shutterstock
Gefährliche Ransomware

Microsoft warnt vor ZCrypt – einem neuen Trojaner, der es auf USB-Laufwerke abgesehen hat und vorrangig die Vorgänger von Windows 10 treffen soll.
Adobe Flash Player
Neue Version

Im Flash Player steckt eine gefährliche Sicherheitslücke. Das neue Update behebt das Leck. Die aktuellen Downloads für Firefox, Chrome und Internet…
© wk1003mike / shutterstock
Sicherheit

Wer sich einen Erpressungs-Trojaner (Ransomware) eingefangen hat, bekommt mit Glück das passende Tool zur Entschlüsselung seiner Daten.
Ransomware Locky
Ransomware

Der Erpressungs-Trojaner Locky lauert nun in gefälschten Provider-Mails, die vor Spam warnen sollen. Neue Dateiendungen erschweren dazu eine…
Netzsieger: Malware-Statistik
Infografik

Eine Infografik von Netzsieger bringt Sie auf den aktuellen Stand rund um Malware in Deutschland. Wie verseucht ist unsere Hardware? Riskieren Sie…