Petya Ransomware

Petya Ransomware

Wir haben seit Langem keine so schädliche Infektion wie die Petya Ransomware gesehen. Wir raten Ihnen dringend, sie so schnell wie möglich zu entfernen, wenn Sie sie haben, weil Sie damit rechnen können, dass sie auf Ihrem Computer eine Verwüstung anrichten wird, indem sie Ihre gesamte Festplatte verschlüsselt. Nachdem die Verschlüsselung abgeschlossen ist, wird sie von Ihnen eine Lösegeldzahlung verlangen. Wir betrachten Petya als sehr schädlich, weil sie auch den Master Boot Record (MBR) der Systemfestplatte überschreibt, der zum Booten von Microsoft Windows benötigt wird. Diese Infektion legt Ihren Computer lahm, was Sie dazu bewegen könnte, das Lösegeld zu bezahlen. Es besteht jedoch keine Garantie, dass die Erschaffer dieser Ransomware Ihnen nach Ihrer Zahlung den Entschlüsselungsschlüssel auch geben werden. Ziehen Sie also in Betracht, diese Infektion zu beseitigen und Ihre Dateien unter Verwendung einer Wiederherstellungssoftware oder von Schattenkopien wiederherzustellen.

E-Mail-Spam ist die üblichste Methode für die Verbreitung von Ransomware, d. h. die Petya Ransomware bildet in dieser Hinsicht keine Ausnahme. Wir haben Informationen erhalten, dass diese bestimmte Ransomware über Spam-E-Mails verbreitet wird, die als Arbeitsbewerbungen getarnt sind. Die fingierten E-Mails besitzen einen Link zu einem geteilten Dropbox-Ordner, der ein selbstextrahierendes Archiv enthält, welcher wie ein Lebenslauf und Foto eines Arbeitsbewerbers aussieht. Wenn Sie diese Datei herunterladen und ausführen, wird die Ransomware installiert. Außerdem haben wir Informationen erhalten, dass die Spam-E-Mails dieser Ransomware insbesondere deutsche Unternehmen ins Visier nehmen. Wir haben noch keine dieser E-Mails zu Gesicht bekommen, sodass wir nicht wissen, ob der Inhalt dieser E-Mails auf Deutsch, Englisch oder in irgendeiner anderen Sprache verfasst ist. Aufgrund der Tatsache, dass deutsche Unternehmen viele E-Mails von Arbeitsbewerbern aus aller Welt erhalten, gibt es einfach keine Möglichkeit, festzustellen, ob eine E-Mail legitim oder fingiert ist. Deshalb ist Internet-Sicherheit äußerst wichtig und sollte nicht vernachlässigt werden. Wir empfehlen Ihnen, ein Antimalware-Tool für Ihre persönlichen bzw. Unternehmenscomputer zu besorgen, um Infektionen wie der Petya Ransomware Einhalt zu gebieten.

Wenn man es mit ransomwareartigen Infektionen zu tun hat, die nur persönliche Dateien verschlüsseln und ein Lösegeld fordern, ist schon schlimm genug, doch die Petya Ransomware geht noch einen Schritt weiter, indem Sie die gesamte Festplatte als Ganzes verschlüsselt. Sobald der Computer mit dieser Ransomware infiziert wurde, überschreibt er seine MBR, ersetzt sie mit einem schädlichen Loader und löst einen kritischen Fehler aus, der als Blue Screen of Death (BSoD; Dt.: Blauer Bildschirm des Todes) bekannt ist, der den Computer zum Neustart zwingt. Der Neustart ist nötig, da nur nach einem PC-Neustart Petyas schädlicher Loader ausgeführt werden kann. Dieser Loader führt einen falschen CHKDSK-Reparaturbildschirm aus. Während des fingierten Reparaturversuchs verschlüsselt Petya die Master File Table (MFT) auf der Festplatte. Der MFT ist eine spezielle Datei auf NTFS-Partitionen, die Informationen über jede Datei enthält, wie beispielsweise ihren Namen, ihre Größe und Zuordnung auf Festplattensektoren. Sobald die MFT verschlüsselt ist, weiß der Computer nicht, welche Partition die Betriebssystemdateien enthält. Man weiß, dass diese Ransomware die Verschlüsselungsalgorithmen RSA 4096-Bit und AES 256-Bit verwendet, die sich nur sehr schwer knacken lassen.

Sobald das fingierte CHKDSK abgeschlossen und Ihre Festplatte verschlüsselt ist, wird Ihnen ein Sperrbildschirm angezeigt, der Anweisungen darüber enthält, wie Sie das Lösegeld bezahlen können. Die Cyberkriminellen wollen, dass Sie den Tor-Browser herunterladen und zu einem der beiden zur Verfügung gestellten Links gehen. Dann müssen Sie den einmaligen Entschlüsselungscode, der in den Anweisungen bereitgestellt wird, in ein Feld auf einer der verlinkten Websites eingeben. Danach müssen Sie den Entschlüsselungsschlüssel für 0,99 Bitcoins (BTC) kaufen (nicht zu verwechseln mit dem Entschlüsselungscode), was etwa 430 USD entspricht. Wenn Sie den Entschlüsselungsschlüssel nach Zahlung des Lösegelds erhalten, müssen Sie ihn in die Zeile für den Schlüssel unten im Fenster eingeben.

Da es keine Garantie gibt, dass Sie den Entschlüsselungsschlüssel erhalten werden, raten wir Ihnen, nicht zu versuchen, das Lösegeld zu bezahlen. Wir empfehlen Ihnen jedoch, die Petya Ransomware unter Verwendung unserer manuellen Entfernungsanleitung aus Ihrem Computer zu entfernen. Wir empfehlen Ihnen auch, ein Antimalware-Programm zu besorgen, das Ihren Computer in Zukunft gegen mögliche Infektionen schützen wird.

Wie man den Master Boot Record (MBR) repariert

Windows 8/8.1 und 10

  1. Legen Sie Ihre Windows-8/8.1-Disc in das CD/DVD-ROM-Laufwerk.
  2. Starten Sie von der Windows-8/8.1-DVD.
  3. Bei der Meldung Drücken Sie eine beliebige Taste, um von der CD oder DVD zu starten … drücken Sie eine beliebige Taste, um die DVD zu starten.
  4. Klicken Sie beim Willkommensbildschirm auf Repair your computer (Computer reparieren).
  5. Wählen Sie Troubleshoot (Problembehandlung) und wählen Sie Command Prompt (Eingabeaufforderung).
  6. Geben Sie in der Eingabeaufforderung die folgenden Befehle ein (drücken sie nach jedem Befehl die Eingabetaste).
    • bootrec /rebuildbcd
    • bootrec /fixmbr
    • bootrec /fixboot
  7. Warten Sie, bis der Prozess beendet ist (eine Bestätigungsmitteilung wird Ihnen sagen, ob die Reparatur erfolgreich war).
  8. Werfen Sie die Windows-8/8.1-DVD aus.
  9. Geben Sie Exit ein und drücken Sie die Eingabetaste, um Ihren PC neu zu starten.

Windows 7

  1. Legen Sie Ihre Windows-7-Disc in das CD/DVD-ROM-Laufwerk.
  2. Starten Sie von der Windows-7-DVD.
  3. Bei der Meldung Drücken Sie eine beliebige Taste, um von der CD oder DVD zu starten …, drücken Sie eine beliebige Taste, um die DVD zu starten.
  4. Wählen Sie die Sprache und das Tastaturlayout und klicken Sie auf Weiter.
  5. Wählen Sie das Betriebssystem und klicken Sie auf Weiter.
  6. Markieren Sie Verwenden Sie Wiederherstellungstools, mit denen sich Probleme beim Starten von Windows beheben lassen.
  7. Klicken Sie im Bildschirm der Systemwiederherstellungsoptionen auf Eingabeaufforderung.
  8. Geben Sie in der Eingabeaufforderung die folgenden Befehle ein (drücken sie nach jedem Befehl die Eingabetaste).
    • bootrec /rebuildbcd
    • bootrec /fixmbr
    • bootrec /fixboot
  9. Warten Sie, bis der Prozess beendet ist (eine Bestätigungsmitteilung wird Ihnen sagen, ob die Reparatur erfolgreich war).
  10. Werfen Sie die Windows-7-DVD aus.
  11. Geben Sie Exit ein und drücken Sie die Eingabetaste, um Ihren PC neu zu starten.

Windows Vista

  1. Legen Sie Ihre Windows-Vista-Disc in das CD/DVD-ROM-Laufwerk.
  2. Starten Sie von der Windows-Vista-DVD.
  3. Bei der Meldung Drücken Sie eine beliebige Taste, um von der CD oder DVD zu starten … drücken Sie eine beliebige Taste, um die DVD zu starten.
  4. Klicken Sie beim Willkommensbildschirm auf Repair your computer (Computer reparieren).
  5. Wählen Sie das Betriebssystem und klicken Sie auf Weiter.
  6. Klicken Sie im Bildschirm der System Recovery Options (Systemwiederherstellungsoptionen) auf Command Prompt (Eingabeaufforderung).
  7. Geben Sie in der Eingabeaufforderung die folgenden Befehle ein (drücken sie nach jedem Befehl die Eingabetaste).
    • bootrec /fixmbr
    • bootrec /fixboot
    • bootrec /rebuildbcd
  8. Warten Sie, bis der Prozess beendet ist (eine Bestätigungsmitteilung wird Ihnen sagen, ob die Reparatur erfolgreich war).
  9. Werfen Sie die Windows-Vista-DVD aus.
  10. Geben Sie Exit ein und drücken Sie die Eingabetaste, um Ihren PC neu zu starten.

Windows XP

  1. Legen Sie Ihre Windows-XP-Disc in das CD/DVD-ROM-Laufwerk.
  2. Starten Sie von der Windows-XP-CD.
  3. Bei der Meldung Drücken Sie eine beliebige Taste, um von der CD zu starten … drücken Sie eine beliebige Taste, um die CD zu starten.
  4. Im Bildschirm Welcome to Setup (Willkommen bei Set-up) drücken Sie R, um die Recovery Console (Wiederherstellungskonsole) zu öffnen.
  5. Bei der Meldung Bei welcher Windows-Installation möchten Sie sich anmelden? geben Sie 1 ein und drücken die Eingabetaste.
  6. Bei der Meldung Geben Sie das Administratorkennwort ein geben Sie das Kennwort ein und drücken die Eingabetaste.
  7. Geben Sie fixmbr ein und wenn die Frage „Sind Sie sicher, dass Sie einen neuen MBR schreiben möchten?“ erscheint, drücken Sie Y und drücken die Eingabetaste.
  8. Drücken Sie erneut die Eingabetaste.
  9. Warten Sie, bis der Prozess beendet ist. Die fixmbr-Utility repariert den Schaden am MBR.
  10. Werfen Sie die Windows-XP-CD aus.
  11. Geben Sie Exit ein und drücken Sie die Eingabetaste, um Ihren PC neu zu starten.

Wie man die Petya Ransomware manuell löscht

  1. Drücken Sie die Tasten Windows+E.
  2. Finden und löschen Sie die Datei namens application folder-gepackt.exe (sie sollte sich dort befinden, wo Ihre Downloads gespeichert werden).
  3. Geben Sie %TEMP% in das Adressfeld des Windows-Explorers ein und suchen Sie nach Kopien von application folder-gepackt.exe.
  4. Löschen Sie, falls vorhanden, alle gefundenen Kopien.
  5. Leeren Sie den Papierkorb.

Antwort schreiben