Petya-Varianten und "Raubkopien

1. Petya, NotPetya und Co. - Erpressungs-Trojaner im Überblick
2. Petya-Varianten und "Raubkopien

Vier offizielle Petya-Varianten

Nach dem Original Petya erschienen noch drei weitere offizielle Varianten. In Anlehnung an die Hintergrundfarbe des Warnhinweises werden die verschiedenen Varianten wie folgt bezeichnet: 

• Red Petya (Version 1.0) - attackiert die Master File Table
• Green Petya (Version 2.0) - attackiert die Master File Table oder einzelne Dateien
• Green Petya (Version 2.5) - technisch optimierte Variante von Version 2.0
• Goldeneye (Version 3.0) - attackiert seit Dezember 2016 MFT und Dateien und umgeht dabei die Windows Benutzerkontensteuerung UAC

Die Gefahr durch diese Petya-Versionen hat sich mittlerweile gelegt. Überraschend hat JSC den Hauptschlüssel (Master Key) für Petya Anfang Juli 2017 veröffentlicht. Mit seiner Hilfe lassen sich alle gekaperten Daten wiederherstellen. Wird Ihr PC jetzt noch von Petya befallen, ist das nicht mehr als ein lästiges Problem.

Raubkopien der Erpresser-Software

Dummerweise hat Petyas Erfolg andere Kriminelle auf den Plan gerufen. Prompt sind bislang (mindestens) zwei Raubkopien von Petya aufgetaucht, die mit neuen, bislang unbekannten Schlüsseln arbeiten:

• PetrWrap basiert auf Green Petya
• Eternal Petya (auch: NotPetya, ExPetr) basiert auf GoldenEye und wurde beim Angriff in der Ukraine verwendet

Andere Petya-Nachfolger lehnen sich nur im Namen und/oder Erscheinungsbild an Petya an, sind technisch aber anders aufgebaut, zum Beispiel SatanaRansomware und Petya+. 

Besonders problematisch ist Eternal Petya, bei dem sich die Entschlüsselung der MFT nicht rückgängig machen lässt. Scheinbar wurde die Software entsprechend beschnitten. Geht es nach dem Namen - „Eternal“ steht für die Ewigkeit - geschah das mit Absicht.

© Malwarebyes Blog

Fazit

Petya war ein Fluch für jeden Nutzer, dessen Daten verschlüsselt wurden. Dass die Original-Petyas mittlerweile keine große Bedrohung mehr sind, heißt allerdings nicht, dass die Gefahr vorüber ist. Zu leicht lässt sich der Petya-Code verändern und in geänderter Form Benutzern unterschieben. Seien Sie deshalb weiterhin vorsichtig beim Öffnen von Dateien unbekannter Herkunft. 

Tipp: Gehen Sie nie auf die Lösegeld-Forderungen von Ransomware-Kriminellen ein. Es passiert nämlich selten bis gar nicht, dass Sie für Ihr Geld die erwartete Gegenleistung erhalten. Achten Sie darauf, dass Sie stets ein Backup Ihrer Daten auf einem nicht permanent mit dem PC verbundenen Datenträger zur Hand haben. Im Schadensfall können Sie dann verhältnismäßig leicht zu einem sauberen Systemzustand zurückkehren.