Neue Warnung vor der Ransomware Petya, die Dateien verschlüsselt und Lösegeld fordert. Ein neuer Installer hat eine zweite Ransomware Mischa im Beipack, die keine Administratorrechte braucht.
Anzeige
Über die Ransomware Petya, die die Festplatte verschlüsselt, hatte ich im Blog-Beitrag Sicherheitsinformationen zum (Kar-)Freitag (25.03.2016) berichtet. Und es gibt die gute Nachricht, dass die Verschlüsselung geknackt wurde (siehe Nice: Petya-Verschlüsselung geknackt, Hilfe für Opfer). Jetzt haben die Cyber-Gangster nachgelegt und verwenden eine modifizierte Variante des Installers. Der erste Hinweis findet sich in diesem Tweet:
Two-in-One #Ransomware: Petya Teams Up with Mischa https://t.co/YnjOzSErgZ #malware #infosec pic.twitter.com/TRcMlCAyP9
— Catalin C. (@campuscodi) 13. Mai 2016
Petya wird als E-Mail-Anhang zu einer angeblichen Bewerbung verschickt. Die angebliche PDF-Datei mit den Bewerbungsunterlagen enthält aber den Installer für die Schadsoftware. Auszug aus meinem alten Artikel:
Die Verteilung erfolgt über Spam-Mails, die angeblich Bewerbungsunterlagen enthalten. Diese "Dokumente" finden sich auf einem Dropbox-Online-Speicher. Versucht der Nutzer die Dokumente zu öffnen, wird die Datei Bewerbungsmappe-gepackt.exe ausgeführt. Als Icon wird das Logo eines Packprogramms angezeigt. Bei der Infektion wird wohl der Master-Boot-Record des Rechners überschrieben, was die vorherige Zustimmung des Benutzers per Benutzerkontensteuerung erfordert.
Gut, die Nutzer sind (manchmal) lernfähig und vermeiden, einem Dokument die Zustimmung administrativer Berechtigungen per Benutzerkontensteuerung – bzw. erhalten in Firmen keine Admin-Berechtigungen. Ist aber für den Schädling kein wirkliches Problem.
Anzeige
(Quelle: Bleepingcomputer.com)
Lawrence Abrams bei bleepingcomputer.com beschreibt im Artikel Petya is back and with a friend named Mischa Ransomware eine neue Variante. Der neue Installer kommt ebenfalls in Dateianhängen a la PDFBewerbungsmappe.exe über Online-Speicher wie MagentaCloud. Der Installer enthält allerdings zwei Schädlinge.
- Zuerst fragt der Installer nach administrativen Privilegien. Gewährt der Windows-Benutzer diese, wird Petya aktiv und verschlüsselt die Festplatte. Gleichzeitig wird der Rechner gesperrt und Lösegeld gefordert.
- Erhält der Installer keine administrativen Berechtigungen, wird der im Beipack enthaltene Schädling Mischa mit lokalen Benutzerrechten ausgeführt. Mischa verschlüsselt dann eben alle für diesen Benutzer erreichbaren Dateien.
Mischa benutzt die AES-Verschlüsselung und benennt die Dokumente mit der Erweiterung .7GP3 (test.jpg wird zu test.jpg.7GP3). Mischa fordert 1,93 Bitcoins (ca. 875 US Dollar) zur Entschlüsselung der Dateien. Details sind im verlinkten Artikel zu finden. (via)
Ähnliche Artikel:
Sicherheitsinformationen zum (Kar-)Freitag (25.03.2016)
Nice: Petya-Verschlüsselung geknackt, Hilfe für Opfer
Anzeige
es war fast schon klar dass Petya nur der Anfang, leider nicht das Ende war.
Mischa macht die Runde:
"Neue Ransomware Mischa"
http://www.mcseboard.de/topic/207212-neue-ransomware-mischa/
"MISCHA RANSOMWARE Support and Help Topic"
https://web.archive.org/web/20161104211827/http://www.bleepingcomputer.com:80/forums/t/613770/mischa-ransomware-support-and-help-topic-your-files-are-encryptedhtml-txt/
"MISCHA RANSOMWARE – Verschlüsselt Windows Netzwerke"
Sehr nützliche Links! Vielen Dank!