Ransomware

Petya, NotPetya und Co. - Erpressungs-Trojaner im Überblick

Petya gehört zum gefährlichsten, was sich Ihr PC einfangen kann. Zwar ist der Erpressungs-Trojaner offiziell besiegt, doch Kopien infizieren laufend neue PCs.

Inhalt
  1. Petya, NotPetya und Co. - Erpressungs-Trojaner im Überblick
  2. Petya-Varianten und "Raubkopien
Petya-Version 2.0 Green Petya

© Malwarebytes Blog

Petya: Die Malware gilt zwar als offiziell besiegt, findet jedoch auch viele Nachahmer.

Petya ist eine Ransomware, d.h. die Software verlangt Lösegeld von den Benutzern befallener PCs. Um ihrer Forderung Nachdruck zu verleihen, verschlüsselt sie den Inhalt der Festplatte. Erst nach der Zahlung - so die von Petya generierte Warnung - werden die Daten wieder entschlüsselt. 

Wer hinter Petya steckt, ist unbekannt. Der oder die Entwickler bezeichnen sich als Janus Cybercrime Solutions (JCS). Dass das an einen Firmennamen erinnert, ist kein Zufall. Petya wurde professionell verbreitet, auch über ein so genanntes Affiliate-Programm. Das heißt, dass auch Dritte mit Petya Geld verdienen konnten. Sie erhielten die Software von JSC und verteilten sie im Netz. Gelang ihnen dabei die Infektion eines Rechners, belohnte Janus sie mit einem Anteil am Lösegeld. 

In Sachen Namensgebung hat JSC übrigens bei James Bond abgekupfert, konkret beim 1995 erschienenen GoldenEye, dem ersten mit Pierce Brosnan in der Hauptrolle des Geheimagenten ihrer Majestät. In der Rolle des ‚Alex „Janus“ Trevelyan’ agierte dort Sean Bean als „Agent 006“.

JCS auf Twitter

© Screenshot/Twitter

Konsequenterweise betreibt die Gruppe auch ihren offiziellen Twitter-Account mit einem Foto von Boris Grishenko, also dem Charakter eines Hackers im Bond-Movie.

Technisch fortschrittlich

Von Start weg zählte Petya technisch zum fortschrittlichsten, was es bis heute an Ransomware gibt. Wo andere Erpressungstrojaner jede Datei einzeln verschlüsseln, geht Petya das Fundament des Dateisystems an. Es verschlüsselt die Master File Table (MFT) und damit das Verzeichnis des Dateisystems, dank der der Computer weiß, in welchen Abschnitten der Festplatte welche Datei gespeichert ist. Das geht nicht nur rasend schnell. Petya setzt mit Salsa20 auch ein bislang kaum zu knackendes Verschlüsselungsverfahren ein. Die Entschlüsselung der Daten klappt deshalb nur mit Hilfe eines von den Entwicklern bereitzustellenden Schlüssels - und genau den gibt es nur gegen Lösegeld.

Lesetipp: Petya Ransomware: Infektion und Datenverlust verhindern

Petya kompromittiert das System gut getarnt und gibt sich erst zu erkennen, wenn es zu spät ist. Die Software landet als ausführbare Datei auf der Festplatte, zum Beispiel per E-Mail und als „Bewerbung.pdf.exe“ getarnt. Wird die Datei gestartet, installiert sie Petya so, dass die Software beim nächsten Neustart des PCs automatisch statt Windows geladen wird. Die Verschlüsselung selbst ist als (vermeintlich von Windows gesteuerte) Überprüfung des Dateisystems (CHKDSK) getarnt.

Petya-Erpressernachricht

© Malwarebytes Blog

Ist die Verschlüsselung abgeschlossen, erscheint beim Original-Petya statt des Windows Desktops die rot unterlegte Nachricht der Erpresser.

Mehr zum Thema

© wk1003mike / shutterstock
Gefährliche Ransomware

Microsoft warnt vor ZCrypt – einem neuen Trojaner, der es auf USB-Laufwerke abgesehen hat und vorrangig die Vorgänger von Windows 10 treffen soll.
Adobe Flash Player
Neue Version

Im Flash Player steckt eine gefährliche Sicherheitslücke. Das neue Update behebt das Leck. Die aktuellen Downloads für Firefox, Chrome und Internet…
© wk1003mike / shutterstock
Sicherheit

Wer sich einen Erpressungs-Trojaner (Ransomware) eingefangen hat, bekommt mit Glück das passende Tool zur Entschlüsselung seiner Daten.
Ransomware Locky
Ransomware

Der Erpressungs-Trojaner Locky lauert nun in gefälschten Provider-Mails, die vor Spam warnen sollen. Neue Dateiendungen erschweren dazu eine…
Netzsieger: Malware-Statistik
Infografik

Eine Infografik von Netzsieger bringt Sie auf den aktuellen Stand rund um Malware in Deutschland. Wie verseucht ist unsere Hardware? Riskieren Sie…