„Unbekannte Anhänge sind nicht zu öffnen! Halten Sie Rücksprache mit der IT“

Diesen Leitsatz kennen Sie sicher aus verschiedenen Awareness-Kampagnen. Und Sie sind sicher sensibilisiert.

Die Entwickler der Schadsoftware sind aber auch nicht untätig und entwickeln immer neue Modifikationen. Neuester Stand: Onlinebewerbungen (von und mit) Petya y Mischa.

Auf Unternehmenswebseiten oder Bewerbungsplattformen wird nach Stellenausschreibungen gesucht. Der Umstand, dass sich auf diese bevorzugt per E-Mail zu bewerben ist, wird sich zu eigen gemacht. In (mittlerweile) perfektem Deutsch und unter Verwendung der Informationen aus der Stellenanzeige (z. B. Name des ausschreibenden Unternehmens und des Ansprechpartners) werden „Bewerbungsunterlagen“ verschickt. Nicht erkennbar ist in den meisten Fällen der vollständige Name der Datei. Vielfach wird lediglich Bewerbung.docx oder Bewerbung.pdf angezeigt, nicht jedoch, dass noch ein „.exe“ folgt.

Hinter der Datei verbirgt sich natürlich keine Bewerbung, sondern die Ransomware Petya, die die Festplatte verschlüsselt. Soweit nichts Neues. Das Besondere ist, dass Petya nicht allein ist, sondern ein weiteres Programm namens Mischa mit im Boot hat. Beim Öffnen der Datei wird zunächst Petya gestartet und verlangt nach Administratorenrechten (sofern der Nutzer nicht bereits mit Administratorenrechten arbeitet). Diese Rechte benötigt Petya, um den Master-Boot-Record zu ändern und die Datenträger zu verschlüsseln. Verwehrt man diese Anforderung und klickt auf „Nein“, beginnt hingegen Mischa mit der Arbeit. Er verschlüsselt dann „nur“ die persönlichen Dateien des Benutzers, erlaubt es aber weiterhin, das Betriebssystem zu starten.

Das bedeutet letztlich: egal, wie die Entscheidung bei der Frage nach den Administratorenrechten ausfällt, in der Falle ist man definitiv. Allenfalls hilft der Griff zum Stecker, um die Stromverbindung zu unterbrechen. Umso wichtiger ist es, im Vorfeld auf etwaige Hinweise für einen Ransomware-Angriff zu achten. Hilfreich ist in jedem Fall der Download der Datei und die Überprüfung des vollständigen Dateinamens. Darüber hinaus sollte die Makro-Funktion der Textverarbeitungsprogramme deaktiviert sein.