Petya und Mischa sind Freundinnen. Für gewöhnlich unternehmen sie alles gemeinsam … — Moment! Das ist kein „Russisch für Anfänger“, sondern der Kaspersky-Daily-Blog. Bei Petya und Mischa handelt es sich um Ransomware und sie werden gemeinsam als Package an den Nutzer geliefert.
Wenn Sie ein regelmäßiger Besucher unseres Blogs sind oder die aktuellen Cybernachrichten verfolgen, werden Sie wahrscheinlich wissen, was Petya ist. Wir haben der Ransomware zwei eigene Blogbeiträge gewidmet, da der Twitter-User @leo_and_stone ein paar Wochen nachdem Petya aufgetaucht war eine Entschlüsselungssoftware für Petya entwickelte.
Petya zeichnet sich gegenüber anderen Ransomware-Arten dadurch aus, dass sie nicht nur bestimmte Datentypen verschlüsselt, sondern — indem sie die Master File Table verschlüsselt — die komplette Festplatte des Computers unlesbar macht. Aus diesem Grund benötigte jeder Nutzer, der Petya zum Opfer gefallen war, einen anderen PC, um das Lösegeld zu bezahlen. Nachdem leo_and_stone sein Entschlüsselungstool kreiert hatte, brauchten Petya-Opfer zwar immer noch einen anderen PC, um die Daten zu entschlüsseln, aber dafür mussten sie nun kein Lösegeld mehr bezahlen.
#Petya #ransomware eats your hard drives – https://t.co/BSqbmRBmGf pic.twitter.com/WpvijrPlSP
— Kaspersky (@kaspersky) March 30, 2016
Darf ich vorstellen — Mischa
Petya hatte eine Schwachstelle. Um ihrer schmutzigen Arbeit nachgehen zu können, benötigte Petya Root-Zugriff. Und solange der Nutzer die Zugriffsberechtigung nicht gewährte, indem er auf „Ja“ klickt, konnte Petya dem Computer des Nutzers nicht schaden. Deswegen behoben die Petya-Entwickler ihre Panne und bündelten Petya mit einer anderen Ransomware — die ebenfalls einen russisch klingenden Namen trägt: Mischa.
Es gibt zwei grundlegende Unterschiede zwischen Petya und Mischa. Petya versagt Ihnen den Zugriff auf die gesamte Festplatte, wohingegen Mischa nur bestimmte Dateitypen verschlüsselt — und das ist wahrscheinlich die gute Nachricht. Die schlechte Nachricht ist, dass Mischa im Gegensatz zu Petya keine Zugriffsberechtigung benötigt. Allem Anschein nach sind ihre Erfinder der Meinung, dass Petya und Mischa sich gegenseitig wunderbar ergänzen.
Mischa ähnelt eher einer gewöhnlichen Ransomware, wie sie hin und wieder auftauchen. Sie benutzt AES-Verschlüsselung (Advanced Encryption Standard), um Datenbanken auf Ihrem Computer zu verschlüsseln. Wie auf dem Bleeping-Computer-Blog berichtet wird, fügt sie an die verschlüsselten Dateien eine vierstellige Dateiendung an, so dass aus test.txt beispielsweise test.txt.7GP3 wird.
#Petya #ransomware installs #Mischa as failsafe via @threatpost https://t.co/qtRhTNKzen pic.twitter.com/eRDVoNqEl3
— Kaspersky (@kaspersky) May 13, 2016
Versucht ein Nutzer die .exe-Datei, in der Mischa und Petya enthalten sind, zu öffnen, scheint ein Windows-Kontrollfeld auf, das den Nutzer fragt, ob er dem Programm die Zugriffsberechtigung gewährt. Das ist einer dieser unangenehmen Momente, in denen beide Möglichkeiten eine schlechte Wahl sind. Wenn der Nutzer auf „Ja“ klickt, wird Petya installiert; wenn er auf „Nein“ klickt, wird Mischa installiert.
Mischa scheint noch habgieriger als Petya zu sein: sie verlangt ca. 1,93 Bitcoins als Lösegeld, was ungefähr 765 Euro entspricht. Petya verlangt 0,9 Bitcoins (ca. 355 Euro).
Ein lustiges Detail ist (falls man in Sachen Ransomware überhaupt etwas als lustig bezeichnen kann): Petya ist ein russischer Name und Mischa scheint das auch zu sein, ist es aber nicht. Eine russischsprachige Person würde „Mischa“ ohne „c“ in der Mitte schreiben — mit „c“ hört es sich für Russen sehr komisch an!
Leider gibt es noch keine Entschlüsselungstools für Mischa. Es gibt eins für Petya, aber um es anzuwenden benötigt man einen zweiten Computer und fortgeschrittene PC-Kenntnisse.
#Ransomware bug leads to #Petya decryptor https://t.co/37fMAxbsRd pic.twitter.com/8M84rY3jXG
— Kaspersky (@kaspersky) April 11, 2016
Um zu vermeiden, dass Sie Petya, Mischa oder anderen Ransomware wie Vasya, SuperCrypt, El Rapto oder was noch kommen wird zum Opfer fallen, empfehlen wir Ihnen:
- Machen Sie Sicherheitskopien. Machen Sie das regelmäßig und gewissenhaft. Wenn Sie eine aktuelle Sicherheitskopie Ihrer Daten haben, können Sie die Ransomware zum … schicken; also dahin schicken, wo Sie möchten.
- Vertrauen Sie niemandem und seien Sie wachsam. Sie erhalten eine Stellenbewerbung mit einer .exe-Datei im Anhang? — Das sieht verdächtig aus — öffnen Sie diese nicht! Vorsicht ist besser als Nachsicht!
- Installieren Sie eine gute Sicherheitslösung. Kaspersky Internet Security besitzt mehrere Schutzstufen, die an die jeweiligen Bedürfnisse angepasst sind und Ransomware wie Mischa abfangen.
Kaspersky Internet Security besitzt eine Anti-Spam-Funktion, die Sie vor Spam- und Phishingmails schützt. Es schließt eine Antiviruslösung ein, die Mischa und Petya, auch bekannt als Trojan-Ransom.Win32.Mikhail und Trojan-Ransom.Win32.Petr, erkennt und unschädlich macht. Es beinhaltet außerdem die Funktion System Watcher, die ungewöhnliche Aktivitäten (zum Beispiel den Versuch mehrere Dateien zu verschlüsseln) erkennt und blockiert. Kaspersky Total Security verfügt über alle bereits genannten Funktionen und bietet darüber hinaus ein Tool, um automatische Sicherheitskopien zu erstellen.