Das Geschäft mit Ransomware + neue Ransomware verschlüsselt PC

Ransomware ist heute ein großes Geschäft. Überall auf der Welt erzielen kriminelle Gruppen exponentiell wachsende Einnahmen damit. Ein Informatikstudent im höheren Semester berichtete aufgrund von nachverfolgten Bitcoin-Transaktionen, eine einzelne, mit Ransomware verknüpfte Adresse habe am 15. Januar 2013 über eine Million Dollar in Bitcoin erhalten. Eine Adresse – Ein Tag – Eine Million Dollar.
Für Kriminelle in der Ransomware-Masche beträgt die durchschnittliche Rendite 1425 %.

Mit solchen Renditen ist es kein Wunder, dass Ransomware zu einer riesigen, notorischen globalen Erpressungsmaschine herangewachsen ist. Es ist einer der teuersten Internetübel mit einer ebenso bösen Entstehungsgeschichte.

Von einem Ransomware-Programm befallen zu werden – sei es CryptoLocker, CryptoWall, CTB-Locker, TorrentLocker oder eine der vielen Varianten davon – kann sich wie die digitale Version eines Raubüberfalls anfühlen. Die Software verschlüsselt gezielt Dateien auf dem befallenen Computer und hält sie in Geiselhaft, bis man zahlt, woraufhin ein Schlüssel zum Dechiffrieren geliefert wird. Die geforderten Zahlungen reichen je nach Opfer von 100 bis 500 Dollar. Im vergangene Jahr haben mehrere örtliche Polizeiabteilungen in den USA zugegeben, jeweils etwa 500 Dollar Lösegeld für die Rückgabe von Dateien gezahlt zu haben, die ihnen gestohlen worden waren.

Eine neue Ransomware sperrt den Anwender von allen seinen Dateien aus, indem sie den Master Boot Record der Festplatte ersetzt und die Master File Table (MFT) von NTFS-Partitionen verschlüsselt. Die Ransomware, welche auf den Namen „Petya“ getauft wurde, tarnt sich als deutschsprachiges Bewerbungsschreiben. Hauptzielgruppe sind also Personalabteilungen von Firmen im deutschsprachigen Raum. Ein Link zu Dropbox, der angeblich auf die Bewerbungsmappe verweist, führt zu einem Archiv, das zwei Dateien enthält: ein JPG-Foto des vermeintlichen Bewerbers und eine ausführbare Datei mit dem Namen „Bewerbungsmappe-gepackt.exe“.
Die EXE-Datei lädt das eigentliche Schadprogramm.

Auf Bleeping Computer wird der Installationsvorgang geschildert: Währenddessen gibt sich Petya als das Microsoft-Kommandozeilenwerkzeug Chkdsk aus. In Wahrheit überprüft das Schadprogramm aber nicht das Laufwerk, sondern verschlüsselt die Dateitabelle MFT, die unter NTFS alle wichtigen Angaben – darunter Namen und Größe – zu allen Dateien enthält.
Derzeit gibt es für Betroffene keine Möglichkeit, die Daten zu entschlüsseln, wenn kein Backup vorliegt. Mit FixMBR lässt sich zwar der Master Boot Record reparieren und der Bildschirm entsperren, aber nicht auf die Dateien zugreifen.

INNOVA-IT Empfehlung
Wie schon in anderen News-Einträgen erwähnt, empfehlen wir keine unbekannten Programme oder Programme aus unbekannten Quellen zu öffnen. Da solche Viren bzw. Trojaner gerne über e-Mails verbreitet werden, ist hier ebenfalls höchste Vorsicht geboten. Sollten Sie sich nicht sicher sein, ob es sich bei einem Programm oder e-Mail um so einen Verschlüsselungstrojaner oder ein anderes Schadprogramm handelt, stehen wir unter +43 5550 20660 oder office@innova-it.at zur Verfügung.

Neben dem vorbeugenden Umgang mit solchen Dateien rückt eine funktionierende und regelmäßige Sicherung immer mehr in den Fokus. Mit einer funktionierenden Sicherung können im „Worst-Case-Szenario“ verschlüsselte Dateien schnell und unkompliziert wiederhergestellt werden. Wichtig hier ist es die Sicherung auch vom Endgerät zu trennen – da die neuesten Ransomware-Varianten auch die Sicherungen ins Visier nehmen.

Ihr INNOVA-IT Team

http://blog.code42.com/de/ransomware-die-gierigste-schurkerei-im-internet/
http://www.zdnet.de/88264556/angebliches-bewerbungsschreiben-ransomware-petya-verschluesselt-master-file-table/