Völlig neue Vorgehensweise
Petya schlägt seit wenigen Stunden auch in Deutschland hart zu – ein echt faules Osterei. Die Schadsoftware hat dabei eine ungewöhnliche Vorgehensweise: Anstatt wie üblich nur bestimmte Dateitypen zu verschlüsseln, manipuliert der neue Schädling den Master Boot Record (MBR) der Festplatte, was dann den gesamten Rechner blockiert. Die auf der Platte installierten Betriebssysteme werden dadurch nicht mehr ausgeführt.
Die Erpresser behaupten dort, sämtliche Festplatten verschlüsselt zu haben und fordern ihr Opfer auf, jetzt Lösegeld auf einer Seite im Tor-Netz (Dark Net) zu bezahlen, um den Rechner wieder nutzen zu können.
Zielgruppe: Windows-User
Petya hat es aktuell auf Windows-Nutzer abgesehen. Um die MBR-Manipulation überhaupt durchführen zu können, fordert die Erpressersoftware höhere Rechte vom System an, was in der Windows-Normalkonfiguration zu einer User-Abfrage der Benutzerkontensteuerung (UAC) führt. Damit sich das werdende Opfer nicht über diese Abfrage wundert, enthält das Symbol der Trojaner-Datei das UAC-Logo, das wie ein Schutzschild aussieht.
Untypischer Verbreitungsweg
Auch der Verbreitungsweg der Schadsoftware ist recht ungewöhnlich. Die Erpresser verschicken nämlich Emails, die angeblich von einem Bewerber stammen, der sich für einen Job im Unternehmen bewirbt.
Diese Emails sind in grammatikalsch korrektem Deutsch getextet. In der Email heißt es dann, die angeblichen Bewerbungsunterlagen seien beim Cloud-Dienst Dropbox hinterlegt, „weil die Datei für die Email zu groß war„.
Verschlüsselt Petya wirklich alle Dateien?
So mancher fragt sich, ob Petya wirklich alle Dateien auf dem Rechner des Opfers verschlüsselt oder nur wie beschrieben den Bootsektor der manipuliert. Im Internet finden sich aktuell Statements für beide Theorien.