Ransomware
Petya, NotPetya und Co. - Erpressungs-Trojaner im Überblick
Petya gehört zum gefährlichsten, was sich Ihr PC einfangen kann. Zwar ist der Erpressungs-Trojaner offiziell besiegt, doch Kopien infizieren laufend neue PCs.
- Petya, NotPetya und Co. - Erpressungs-Trojaner im Überblick
- Petya-Varianten und "Raubkopien
Petya ist eine Ransomware, d.h. die Software verlangt Lösegeld von den Benutzern befallener PCs. Um ihrer Forderung Nachdruck zu verleihen, verschlüsselt sie den Inhalt der Festplatte. Erst nach der Zahlung - so die von Petya generierte Warnung - werden die Daten wieder entschlüsselt.
Wer hinter Petya steckt, ist unbekannt. Der oder die Entwickler bezeichnen sich als Janus Cybercrime Solutions (JCS). Dass das an einen Firmennamen erinnert, ist kein Zufall. Petya wurde professionell verbreitet, auch über ein so genanntes Affiliate-Programm. Das heißt, dass auch Dritte mit Petya Geld verdienen konnten. Sie erhielten die Software von JSC und verteilten sie im Netz. Gelang ihnen dabei die Infektion eines Rechners, belohnte Janus sie mit einem Anteil am Lösegeld.
In Sachen Namensgebung hat JSC übrigens bei James Bond abgekupfert, konkret beim 1995 erschienenen GoldenEye, dem ersten mit Pierce Brosnan in der Hauptrolle des Geheimagenten ihrer Majestät. In der Rolle des ‚Alex „Janus“ Trevelyan’ agierte dort Sean Bean als „Agent 006“.
Technisch fortschrittlich
Von Start weg zählte Petya technisch zum fortschrittlichsten, was es bis heute an Ransomware gibt. Wo andere Erpressungstrojaner jede Datei einzeln verschlüsseln, geht Petya das Fundament des Dateisystems an. Es verschlüsselt die Master File Table (MFT) und damit das Verzeichnis des Dateisystems, dank der der Computer weiß, in welchen Abschnitten der Festplatte welche Datei gespeichert ist. Das geht nicht nur rasend schnell. Petya setzt mit Salsa20 auch ein bislang kaum zu knackendes Verschlüsselungsverfahren ein. Die Entschlüsselung der Daten klappt deshalb nur mit Hilfe eines von den Entwicklern bereitzustellenden Schlüssels - und genau den gibt es nur gegen Lösegeld.
Lesetipp: Petya Ransomware: Infektion und Datenverlust verhindern
Petya kompromittiert das System gut getarnt und gibt sich erst zu erkennen, wenn es zu spät ist. Die Software landet als ausführbare Datei auf der Festplatte, zum Beispiel per E-Mail und als „Bewerbung.pdf.exe“ getarnt. Wird die Datei gestartet, installiert sie Petya so, dass die Software beim nächsten Neustart des PCs automatisch statt Windows geladen wird. Die Verschlüsselung selbst ist als (vermeintlich von Windows gesteuerte) Überprüfung des Dateisystems (CHKDSK) getarnt.
