{"id":177462,"date":"2016-05-15T07:28:50","date_gmt":"2016-05-15T05:28:50","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=177462"},"modified":"2022-03-30T06:48:34","modified_gmt":"2022-03-30T04:48:34","slug":"ransomware-alarm-petya-kommt-mit-mischa-im-beipack","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/05\/15\/ransomware-alarm-petya-kommt-mit-mischa-im-beipack\/","title":{"rendered":"Ransomware-Alarm: Petya kommt mit Mischa im Beipack"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Neue Warnung vor der Ransomware Petya, die Dateien verschl\u00fcsselt und L\u00f6segeld fordert. Ein neuer Installer hat eine zweite Ransomware Mischa im Beipack, die keine Administratorrechte braucht.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/859657fecaca44b7952152ff07363f25\" width=\"1\" height=\"1\"\/>\u00dcber die Ransomware Petya, die die Festplatte verschl\u00fcsselt, hatte ich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2016\/03\/25\/sicherheitsinformationen-zum-kar-freitag-25-03-2016\/\">Sicherheitsinformationen zum (Kar-)Freitag (25.03.2016)<\/a> berichtet. Und es gibt die gute Nachricht, dass die Verschl\u00fcsselung geknackt wurde (siehe <a href=\"https:\/\/borncity.com\/blog\/2016\/04\/11\/nice-petya-verschlsselung-geknackt-hilfe-fr-opfer\/\">Nice: Petya-Verschl\u00fcsselung geknackt, Hilfe f\u00fcr Opfer<\/a>). Jetzt haben die Cyber-Gangster nachgelegt und verwenden eine modifizierte Variante des Installers. Der erste Hinweis findet sich in <a href=\"https:\/\/twitter.com\/campuscodi\/status\/731272393679904768\" target=\"_blank\" rel=\"noopener\">diesem Tweet<\/a>:<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">Two-in-One <a href=\"https:\/\/twitter.com\/hashtag\/Ransomware?src=hash\">#Ransomware<\/a>: Petya Teams Up with Mischa <a href=\"https:\/\/t.co\/YnjOzSErgZ\">https:\/\/t.co\/YnjOzSErgZ<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/malware?src=hash\">#malware<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/infosec?src=hash\">#infosec<\/a> <a href=\"https:\/\/t.co\/TRcMlCAyP9\">pic.twitter.com\/TRcMlCAyP9<\/a><\/p>\n<p>\u2014 Catalin C. (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/731272393679904768\">13. Mai 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Petya wird als E-Mail-Anhang zu einer angeblichen Bewerbung verschickt. Die angebliche PDF-Datei mit den Bewerbungsunterlagen enth\u00e4lt aber den Installer f\u00fcr die Schadsoftware. Auszug aus meinem alten Artikel:<\/p>\n<blockquote>\n<p>Die Verteilung erfolgt \u00fcber Spam-Mails, die angeblich Bewerbungsunterlagen enthalten. Diese \"Dokumente\" finden sich auf einem Dropbox-Online-Speicher. Versucht der Nutzer die Dokumente zu \u00f6ffnen, wird die Datei <em>Bewerbungsmappe-gepackt.exe<\/em> ausgef\u00fchrt. Als Icon wird das Logo eines Packprogramms angezeigt. Bei der Infektion wird wohl der Master-Boot-Record des Rechners \u00fcberschrieben, was die vorherige Zustimmung des Benutzers per Benutzerkontensteuerung erfordert.<\/p>\n<\/blockquote>\n<p>Gut, die Nutzer sind (manchmal) lernf\u00e4hig und vermeiden, einem Dokument die Zustimmung administrativer Berechtigungen per Benutzerkontensteuerung \u2013 bzw. erhalten in Firmen keine Admin-Berechtigungen. Ist aber f\u00fcr den Sch\u00e4dling kein wirkliches Problem. <\/p>\n<p><a href=\"http:\/\/www.bleepstatic.com\/images\/news\/ransomware\/m\/mischa\/ransom-note.png\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" title=\"Mischa Ransomware\" alt=\"Mischa Ransomware\" src=\"http:\/\/www.bleepstatic.com\/images\/news\/ransomware\/m\/mischa\/ransom-note.png\" width=\"579\" height=\"321\"\/><\/a><br \/>(Quelle: Bleepingcomputer.com)<\/p>\n<p>Lawrence Abrams bei bleepingcomputer.com beschreibt im Artikel <a href=\"https:\/\/web.archive.org\/web\/20220125223609\/https:\/\/www.bleepingcomputer.com\/news\/security\/petya-is-back-and-with-a-friend-named-mischa-ransomware\/\">Petya is back and with a friend named Mischa Ransomware<\/a> eine neue Variante. Der neue Installer kommt ebenfalls in Dateianh\u00e4ngen a la <em>PDFBewerbungsmappe.exe<\/em> \u00fcber Online-Speicher wie MagentaCloud. Der Installer enth\u00e4lt allerdings zwei Sch\u00e4dlinge. <\/p>\n<ul>\n<li>Zuerst fragt der Installer nach administrativen Privilegien. Gew\u00e4hrt der Windows-Benutzer diese, wird Petya aktiv und verschl\u00fcsselt die Festplatte. Gleichzeitig wird der Rechner gesperrt und L\u00f6segeld gefordert.  <\/li>\n<li>Erh\u00e4lt der Installer keine administrativen Berechtigungen, wird der im Beipack enthaltene Sch\u00e4dling Mischa mit lokalen Benutzerrechten ausgef\u00fchrt. Mischa verschl\u00fcsselt dann eben alle f\u00fcr diesen Benutzer erreichbaren Dateien. <\/li>\n<\/ul>\n<p>Mischa benutzt die AES-Verschl\u00fcsselung und benennt die Dokumente mit der Erweiterung .7GP3 (<em>test.jpg <\/em>wird zu <em>test.jpg.7GP3<\/em>). Mischa fordert 1,93 Bitcoins (ca. 875 US Dollar) zur Entschl\u00fcsselung der Dateien. Details sind im verlinkten Artikel zu finden. (<a href=\"http:\/\/www.neowin.net\/news\/petya-ransomware-now-stronger-than-ever-brings-a-friend-along\" target=\"_blank\" rel=\"noopener\">via<\/a>)<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/><\/strong><a href=\"https:\/\/borncity.com\/blog\/2016\/03\/25\/sicherheitsinformationen-zum-kar-freitag-25-03-2016\/\">Sicherheitsinformationen zum (Kar-)Freitag (25.03.2016)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2016\/04\/11\/nice-petya-verschlsselung-geknackt-hilfe-fr-opfer\/\">Nice: Petya-Verschl\u00fcsselung geknackt, Hilfe f\u00fcr Opfer<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Neue Warnung vor der Ransomware Petya, die Dateien verschl\u00fcsselt und L\u00f6segeld fordert. Ein neuer Installer hat eine zweite Ransomware Mischa im Beipack, die keine Administratorrechte braucht.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4935,4715,4328],"class_list":["post-177462","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-petya","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/177462","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=177462"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/177462\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=177462"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=177462"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=177462"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}