Go to Top

Kroll Ontrack erfolgreich im Kampf gegen Petya

Ransomware Petya

Das Datenrettungsteam von Kroll Ontrack musste sich in den letzten Tagen mehrfach mit einer neuen Ransomware befassen. Das Schadprogramm Petya verschlüsselt Daten auf der Festplatte und verlangt Lösegeld. Ziel der Cyberkriminellen sind anscheinend vor allem Unternehmen und Behörden, denen angebliche Bewerbungsmails zugeschickt werden. Die Mails sind gut gemacht, wirken seriös und werden bevorzugt an die zuständige Personalabteilung geschickt.

Wenn Sie in Ihrem Posteingang eine Mail finden, die folgenden Satz (oder sinngemäße ähnliche) beinhaltet: „Die vollständige Bewerbungsmappe habe ich in meine Dropbox geladen, weil die Datei für die Email zu groß war – Entschuldigen Sie bitte!“ dann sollten die Alarmglocken klingeln. Denn unter dem beigefügten Link finden Sie ein freundliches Bewerbungsfoto und die falschen Bewerbungsunterlagen, beispielsweise eine Datei mit dem Namen „Bewerbungsmappe-gepackt.exe“. Wobei allein schon die Dateiendung (exe = ausführbare Datei) den Alarm ein zweites Mal auslösen sollte.

Wenn die Datei heruntergeladen und geöffnet wird, verschlüsselt Petya den Master Boot Record (MBR). Jetzt hätte man noch die Möglichkeit, durch den Ausbau der Festplatte und das Einbinden in ein anderes System die gespeicherten Daten zu sichern – dazu müsste man aber wissen, dass gerade ein Angriff auf dem Rechner gestartet wurde.

In der zweiten Stufe veranlasst das Schadprogramm durch einen Bluescreen den Benutzer, seinen Rechner neu zu starten. Beim nachfolgenden zweifachen Neustart werden die Daten verschlüsselt und ein Totenkopf erscheint auf dem Schirm, dazu eine Lösegeldforderung von etwa 350 € (ca 0.9 Bitcoin).

Kroll Ontrack konnte bei solchermaßen verschlüsselten Festplatten die Daten retten. Sollten Sie zu den Betroffenen gehören wenden Sie sich bitte unter der Telefonnummer 0800 10 12 13 14 an unsere Notfall-Hotline.

Bildquelle: geralt / pixabay