Petya: Neue Ransomware verschlüsselt Windows-Rechner

Die neue Ransomware "Petya" greift zahlreiche Windows-PCs in Deutschland an. Dabei klemmt der Erpresser-Trojaner nicht nur einzelne Dateitypen ab, sondern verriegelt das gesamte Betriebssystem. Im Anschluss kommt die in solchen Fällen übliche Lösegeldforderung, die das Opfer auf eine Seite im Tor-Netz weiterleitet.

• Update (30.03.2016): In einem neuen Artikel lesen Sie, wie Sie sich vor Petya schützen und Daten retten können.

Dabei ist das Vorgehen von Petya für Ransomware ungewöhnlich. Um die Nutzer von seinem Rechner auszusperren, manipuliert der Trojaner den Master-Boot-Record (MBR) der Festplatte, um das installierte Windows-OS zu sperren. Dafür benötigt Petya erhöhte Rechte, die normalerweise in der Benutzerkontensteuerung (UAC) angefragt werden. Um den Nutzer auszutricksen, gibt sich das Ransomware als UAC-autorisiertes Programm aus.

Ist die Manipulation des MBR erfolgreich, löst Petya einen Bluescreen aus, der den Windows-PC zum Neustart zwingt. Anstelle des dann blockierten Betriebssystems empfängt das Opfer ein Totenschädel in ASCII-Art mitsamt der Lösegeldforderung.

Ob die Ransomware die Festplatte tatsächlich vollständig verschlüsselt, ist derzeit noch unklar. Sollte dies der Fall sein, würde eine vollständige Verschlüsselung einige Zeit beanspruchen - Betroffene sollten dementsprechend schnellstmöglich den Rechner abschalten, um weiteren Schaden zu vermeiden.

Auch die Verbreitung der Ransomware ist ungewöhnlich, aber nicht neu. So wählt der Trojaner den Weg über eine Dropbox-Verteilung, in der er sich als Bewerber für einen Job im Unternehmen ausgibt. In der Datei "Bewerbungsmappe-gepackt.exe", das sich als selbstextrahierendes Archiv ausgibt, steckt Petya.