Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
Petya: Den Erpressungs-Trojaner stoppen, bevor er die Festplatten verschlüsselt

30.03.2016

 zur Newsdatenbank home

Der Erpressungstrojaner Petya scheint nach ersten Analysen von Sicherheitsforschern tatsächlich die Daten auf betroffenen Systemen zu verschlüsseln. Dies passiert allerdings in zwei Phasen, wobei eine Datenrettung anfangs noch möglich zu sein scheint. Dies ist allerdings nicht mehr möglich wenn das System neu gestartet wird. Der Trojaner zerstört ärgerlicherweise die zum Booten benötigten Informationen auf Systemen, die nicht erfolgreich verschlüsselt werden konnten.

Petya verschlüsselt zunächst nur den Master Boot Record (MBR) über ein einfaches XOR mit einem festen Wert. Der Schaden lässt sich an dieser Stelle noch relativ einfach begrenzen. Man kann die Festplatten unter anderem extern einbinden um Daten sichern. An diesem Punkt soll der MBR mit Wiederherstellungs-Tools repariert werden können, berichten einige betroffene Nutzer. Dann bootet das System auch wieder normal. Dazu muss man natürlich wissen, dass man sich gerade infiziert hat und einen Neustart verhindern sollte.

Der betroffene Rechner bekommt im nächsten Schritt durch den Trojaner einen Bluescreen, um das Opfer zu einem Neustart seines Systems zu bewegen. Nach erneuten starten läuft ein vorgetäuschtes chkdsk das dann die Dateisysteme verschlüsselt. Anschließend ist es nicht mehr möglich direkt auf die Partitionen der Festplatte zuzugreifen. Hier scheint nicht die gesamte Festplatte verschlüsselt zu sein. Wenn man sich das ganze mit einem Hex-Editor anschaut, lässt sich nach wie vor lesbarer Text finden in Form von Strings. Mit speziellen Forensik-Tools lassen sich die Daten wahrscheinlich noch retten.

Tests mit Systemen, die per UEFI booten, von heise Security deuten darauf hin, dass der Trojaner die Bootinformationen bei UEFI Systemen zerschießt, so dass der Rechner gar nicht mehr startet. Die zweite Petya-Phase scheint so allerdings verhindert zu werden, und damit auch die Verschlüsselung der Dateisysteme.

Verschiedenste Sicherheitsforscher analysieren aktuell die Petya-Aktivitäten. Details werden höchstwahrscheinlich noch folgen. Deshalb lohnt es sich betroffene Datenträger aufzubewahren, falls später noch ein Rettungstool auftaucht. Nach einem Bluescreen sollte man jedenfalls sein System nur noch von einem Rettungsmedium booten, um das verschlüsseln zu verhindern.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89