Personalabteilung im Focus
Wie zdnet.de dazu berichtete haben die Analysten von Trend Micro das Schadprogramm „Petya“ genannt. Ziel der Autoren hinter „Petya“ sind vor allem Personalabteilungen. Diese erhalten E-Mails mit deutschsprachigen Bewerbungsschreiben. Ein Link zu Dropbox, der angeblich auf die Bewerbungsmappe verweist, führt zu einem Archiv, das zwei Dateien enthält: ein JPG-Foto des vermeintlichen Bewerbers und eine ausführbare Datei mit dem Namen „Bewerbungsmappe-gepackt.exe“.
Das eigentliche Schadprogramm wird von der exe-Datei geladen. Dann erfolgt die Verschlüsselung der Dateitabelle MFT, die unter NTFS alle wichtigen Angaben – darunter Namen und Größe – zu allen Dateien enthält. Auch nach einem Reboot sind keine Daten mehr abgreifbar. Die Lösegeldforderung kommt prompt, sie lautet 0,99 Bitcoin (400 Euro). Wird nicht gezahlt verdoppelt sich der Betrag nach einer Woche.
Daten entschlüsseln Fehlanzeige
Es ist eine bittere Pille für die Betroffenen Nutzer, dass es keine Möglichkeit der Datenentschlüsselung gibt. Hilfreich ist hier einzig und allein ein Backup. Wie es heißt lässt sich mit FixMBR zwar der Master Boot Record reparieren und der Bildschirm entsperren, aber nicht auf die Dateien zugreifen.
Wichtige Schutzmaßnahmen:
Es ist äußerst wichtig alle Mitarbeiter entsprechend zu schulen, um einem Befall mit Petya oder ähnlicher Malware vorzubeugen. Zwingend notwendig sind regelmäßige Backups durchzuführen, um alle wichtigen Geschäftsdaten zu sichern.
Als äußerst ungewöhnlich sehen die Experten in diesem Fall den Einsatz von Dropbox an. Der Cloud-Storage- Anbieter hat die fraglichen Dateien zwischenzeitlich entfernt und mitgeteilt:
„Auch wenn dieser Angriff keine Kompromittierung von Dropbox‘ Sicherheit bedeutet, haben wir Prozeduren eingerichtet, um solche kriminellen Vorgänge zu unterbinden, sobald sie auftreten“
