Ransomware-Alarm: Petya kommt mit Mischa im Beipack

Neue Warnung vor der Ransomware Petya, die Dateien verschlüsselt und Lösegeld fordert. Ein neuer Installer hat eine zweite Ransomware Mischa im Beipack, die keine Administratorrechte braucht.


Anzeige

Über die Ransomware Petya, die die Festplatte verschlüsselt, hatte ich im Blog-Beitrag Sicherheitsinformationen zum (Kar-)Freitag (25.03.2016) berichtet. Und es gibt die gute Nachricht, dass die Verschlüsselung geknackt wurde (siehe Nice: Petya-Verschlüsselung geknackt, Hilfe für Opfer). Jetzt haben die Cyber-Gangster nachgelegt und verwenden eine modifizierte Variante des Installers. Der erste Hinweis findet sich in diesem Tweet:

Petya wird als E-Mail-Anhang zu einer angeblichen Bewerbung verschickt. Die angebliche PDF-Datei mit den Bewerbungsunterlagen enthält aber den Installer für die Schadsoftware. Auszug aus meinem alten Artikel:

Die Verteilung erfolgt über Spam-Mails, die angeblich Bewerbungsunterlagen enthalten. Diese "Dokumente" finden sich auf einem Dropbox-Online-Speicher. Versucht der Nutzer die Dokumente zu öffnen, wird die Datei Bewerbungsmappe-gepackt.exe ausgeführt. Als Icon wird das Logo eines Packprogramms angezeigt. Bei der Infektion wird wohl der Master-Boot-Record des Rechners überschrieben, was die vorherige Zustimmung des Benutzers per Benutzerkontensteuerung erfordert.

Gut, die Nutzer sind (manchmal) lernfähig und vermeiden, einem Dokument die Zustimmung administrativer Berechtigungen per Benutzerkontensteuerung – bzw. erhalten in Firmen keine Admin-Berechtigungen. Ist aber für den Schädling kein wirkliches Problem.

Mischa Ransomware
(Quelle: Bleepingcomputer.com)

Lawrence Abrams bei bleepingcomputer.com beschreibt im Artikel Petya is back and with a friend named Mischa Ransomware eine neue Variante. Der neue Installer kommt ebenfalls in Dateianhängen a la PDFBewerbungsmappe.exe über Online-Speicher wie MagentaCloud. Der Installer enthält allerdings zwei Schädlinge.

  • Zuerst fragt der Installer nach administrativen Privilegien. Gewährt der Windows-Benutzer diese, wird Petya aktiv und verschlüsselt die Festplatte. Gleichzeitig wird der Rechner gesperrt und Lösegeld gefordert.
  • Erhält der Installer keine administrativen Berechtigungen, wird der im Beipack enthaltene Schädling Mischa mit lokalen Benutzerrechten ausgeführt. Mischa verschlüsselt dann eben alle für diesen Benutzer erreichbaren Dateien.

Mischa benutzt die AES-Verschlüsselung und benennt die Dokumente mit der Erweiterung .7GP3 (test.jpg wird zu test.jpg.7GP3). Mischa fordert 1,93 Bitcoins (ca. 875 US Dollar) zur Entschlüsselung der Dateien. Details sind im verlinkten Artikel zu finden. (via)

Ähnliche Artikel:
Sicherheitsinformationen zum (Kar-)Freitag (25.03.2016)
Nice: Petya-Verschlüsselung geknackt, Hilfe für Opfer


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Ransomware-Alarm: Petya kommt mit Mischa im Beipack

  1. Pingback: Anonymous

  2. Tabac sagt:

    es war fast schon klar dass Petya nur der Anfang, leider nicht das Ende war.
    Mischa macht die Runde:
    "Neue Ransomware Mischa"
    http://www.mcseboard.de/topic/207212-neue-ransomware-mischa/
    "MISCHA RANSOMWARE Support and Help Topic"
    https://web.archive.org/web/20161104211827/http://www.bleepingcomputer.com:80/forums/t/613770/mischa-ransomware-support-and-help-topic-your-files-are-encryptedhtml-txt/
    "MISCHA RANSOMWARE – Verschlüsselt Windows Netzwerke"

Schreibe einen Kommentar zu Tabac Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.