Vor einigen Monaten haben wir und andere IT-Sicherheitsspezialisten eine neue Malware entdeckt – Petya (Win32.Trojan-Ransom.Petya.A). Im klassischen Sinne handelte es sich nicht um einen Verschlüsseler; der Virus blockierte lediglich den Zugriff auf bestimmte Dateitypen und verlangte ein Lösegeld. Der Virus veränderte den Startdatensatz auf der Festplatte, startete den PC zwangsweise neu und zeigte die Meldung „Die Daten sind verschlüsselt – verschwenden Sie Ihr Geld für die Entschlüsselung.“ Im Allgemeinen das Standardschema von Verschlüsselungsviren, mit der Ausnahme, dass die Dateien NICHT tatsächlich verschlüsselt wurden. Die meisten gängigen Antivirenprogramme begannen einige Wochen nach seinem Erscheinen mit der Erkennung und Entfernung von Win32.Trojan-Ransom.Petya.A. Darüber hinaus erschienen Anweisungen zur manuellen Entfernung. Warum glauben wir, dass Petya keine klassische Ransomware ist? Dieser Virus nimmt Änderungen am Master Boot Record vor, verhindert das Laden des Betriebssystems und verschlüsselt außerdem die Master File Table. Die Dateien selbst werden nicht verschlüsselt.

Vor einigen Wochen tauchte jedoch ein komplexerer Virus auf Mischa, offenbar von denselben Betrügern geschrieben. Dieser Virus VERSCHLÜSSELT Dateien und erfordert die Zahlung von 500 – 875 $ für die Entschlüsselung (in verschiedenen Versionen 1,5 – 1,8 Bitcoins). Anweisungen zur „Entschlüsselung“ und Bezahlung dafür sind in den Dateien YOUR_FILES_ARE_ENCRYPTED.HTML und YOUR_FILES_ARE_ENCRYPTED.TXT gespeichert.

Mischa-Virus – Inhalt der Datei YOUR_FILES_ARE_ENCRYPTED.HTML

Nun infizieren Hacker die Computer der Benutzer tatsächlich mit zwei Malwares: Petya und Mischa. Der erste benötigt Administratorrechte auf dem System. Das heißt, wenn ein Benutzer sich weigert, Petya Administratorrechte zu erteilen oder diese Malware manuell löscht, greift Mischa ein. Dieser Virus erfordert keine Administratorrechte, es ist ein klassischer Verschlüsseler und verschlüsselt Dateien tatsächlich mit dem starken AES-Algorithmus und ohne Änderungen am Master Boot Record und der Dateitabelle auf der Festplatte des Opfers vorzunehmen.

Die Mischa-Malware verschlüsselt nicht nur Standard-Dateitypen (Videos, Bilder, Präsentationen, Dokumente), sondern auch .exe-Dateien. Der Virus betrifft nicht nur die Verzeichnisse \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow und \Chrome.

Die Infektion erfolgt hauptsächlich per E-Mail, wobei ein Brief mit einer angehängten Datei – dem Vireninstallationsprogramm – eingeht. Es kann unter einem Brief des Steuerdienstes, Ihres Buchhalters, als beigefügte Quittungen und Quittungen für Einkäufe usw. verschlüsselt werden. Achten Sie in solchen Briefen auf die Dateierweiterungen – wenn es sich um eine ausführbare Datei (.exe) handelt, handelt es sich mit hoher Wahrscheinlichkeit um einen Container mit dem Petya\Mischa-Virus. Und wenn die Änderung der Malware aktuell ist, reagiert Ihr Antivirenprogramm möglicherweise nicht.

Update 30.06.2017: 27. Juni, eine modifizierte Version des Petya-Virus (Petya.A) Nutzer in der Ukraine massiv angegriffen. Die Wirkung dieses Angriffs war enorm und der wirtschaftliche Schaden ist noch nicht berechenbar. An einem Tag wurde die Arbeit Dutzender Banken, Einzelhandelsketten, Regierungsbehörden und Unternehmen verschiedener Eigentumsformen lahmgelegt. Der Virus verbreitete sich hauptsächlich über eine Schwachstelle im ukrainischen Buchhaltungsberichtssystem MeDoc mit dem neuesten automatischen Update dieser Software. Darüber hinaus hat das Virus Länder wie Russland, Spanien, Großbritannien, Frankreich und Litauen befallen.

Entfernen Sie den Petya- und Mischa-Virus mit einem automatischen Reiniger

Eine äußerst effektive Methode zur Arbeit mit Malware im Allgemeinen und Ransomware im Besonderen. Der Einsatz eines bewährten Schutzkomplexes garantiert eine gründliche Erkennung etwaiger Virusbestandteile und deren vollständige Entfernung mit einem Klick. Bitte beachten Sie, dass es sich um zwei verschiedene Prozesse handelt: die Deinstallation der Infektion und die Wiederherstellung von Dateien auf Ihrem PC. Die Bedrohung muss jedoch unbedingt entfernt werden, da es Informationen über die Einführung anderer Computertrojaner gibt, die sie nutzen.

1. . Klicken Sie nach dem Starten der Software auf die Schaltfläche Starten Sie den Computerscan(Scannen starten).
2. Die installierte Software erstellt einen Bericht über die beim Scannen erkannten Bedrohungen. Um alle erkannten Bedrohungen zu entfernen, wählen Sie die Option Beheben Sie Bedrohungen(Bedrohungen beseitigen). Die betreffende Schadsoftware wird vollständig entfernt.

Stellen Sie den Zugriff auf verschlüsselte Dateien wieder her

Wie bereits erwähnt, sperrt die Mischa-Ransomware Dateien mit einem starken Verschlüsselungsalgorithmus, so dass verschlüsselte Daten nicht mit einem Zauberstab wiederhergestellt werden können – ohne eine beispiellose Lösegeldsumme zu zahlen (manchmal bis zu 1.000 US-Dollar). Einige Methoden können jedoch wirklich lebensrettend sein und Ihnen bei der Wiederherstellung wichtiger Daten helfen. Nachfolgend können Sie sich mit ihnen vertraut machen.

Automatisches Dateiwiederherstellungsprogramm (Entschlüsseler)

Ein sehr ungewöhnlicher Umstand ist bekannt. Diese Infektion löscht die Originaldateien in unverschlüsselter Form. Das Verschlüsselungsverfahren zu Erpressungszwecken zielt somit auf Kopien davon ab. Dies ermöglicht Software wie die Wiederherstellung gelöschter Objekte, auch wenn die Zuverlässigkeit ihrer Entfernung gewährleistet ist. Es wird dringend empfohlen, auf das Verfahren zur Dateiwiederherstellung zurückzugreifen; seine Wirksamkeit steht außer Zweifel.

Schattenkopien von Bänden

Der Ansatz basiert auf dem Windows-Dateisicherungsprozess, der an jedem Wiederherstellungspunkt wiederholt wird. Eine wichtige Voraussetzung dafür, dass diese Methode funktioniert: Die Funktion „Systemwiederherstellung“ muss vor der Infektion aktiviert werden. Allerdings werden alle nach dem Wiederherstellungspunkt vorgenommenen Änderungen an der Datei nicht in der wiederhergestellten Version der Datei angezeigt.

Sicherung

Dies ist die beste aller nicht erpressenden Methoden. Wenn das Verfahren zum Sichern von Daten auf einem externen Server vor dem Ransomware-Angriff auf Ihren Computer verwendet wurde, müssen Sie zum Wiederherstellen verschlüsselter Dateien lediglich die entsprechende Schnittstelle aufrufen, die erforderlichen Dateien auswählen und den Daaus dem Backup starten. Bevor Sie den Vorgang durchführen, müssen Sie sicherstellen, dass die Ransomware vollständig entfernt wurde.

Überprüfen Sie, ob möglicherweise Restkomponenten der Petya- und Mischa-Ransomware vorhanden sind

Bei der manuellen Reinigung besteht die Gefahr, dass einzelne Teile der Ransomware übersehen werden, die der Entfernung als versteckte Betriebssystemobjekte oder Registrierungselemente entgehen könnten. Um das Risiko einer teilweisen Speicherung einzelner Schadelemente auszuschließen, scannen Sie Ihren Computer mit einem zuverlässigen Sicherheitssoftwarepaket, das auf Schadsoftware spezialisiert ist.