Petya-Erpressungstrojaner sperrt PCs – mögliche Abhilfe

avg_logo_deDerzeit grassiert eine Welle von Kryptolockern, die PCs vermeintlich blockiert und komplett verschlüsselt. Die Social-Engineering-Varianten zur Infektion sind soweit eigentlich bekannt, ungewöhnlich ist die neue Kombination: Per E-Mail kommt eine vermeintliche Bewerbung herein, die auf Bewerbungsunterlagen in einer Dropbox hinweist. Darin befindet sich dann eine Datei, die derzeit „Bewerbungsmappe-gepackt.exe“ heißt. Bei Ausführung simuliert diese Datei einen Bluescreen, verändert Master Boot Record der Festplatte und Windows-Startdateien; anschließend erzwingt sie einen Neustart. Dort ist dann ein Link in das TOR-Netzwerk hinterlegt, wo die zum Freikaufen erpresste Summe gezahlt werden soll.

Nach bisherigen Erkenntnissen wird die Festplatte jedoch derzeit nicht verschlüsselt. Der Master Boot Record sowie die Windows-Startdateien sollten sich mit einer Windows-Installations-CD wiederherstellen lassen. Diese CD (oder USB-Stick) muss man zum Starten des Rechners verwenden. Sie sollte zum dort installierten Betriebssystem passen, also jeweils Windows 7, 8 oder 10. Dort startet man die Reparaturoptionen und wählt die Kommandozeile aus. Um den Master Boot Record zu reparieren, gibt man ein:
bootrec /fixmbr

Mit den Kommandos:
bootrec /fixboot
bootrec /rebuildbcd

bringt man dann die Startdateien wieder in Ordnung. Nun sollten die Partitonen wieder zugreifbar sein, sodass man ein Backup der Daten anlegen und den Rechner neu aufsetzen kann.

Die Antivirenhersteller wie AVG pflegen permanent neue Signaturen nach, um die Erkennung der Schädlinge zu gewährleisten. Jedoch passiert es bei neuen Varianten gelegentlich, dass die Heuristik nicht mehr greift und zwischen Ausbruch des Schädlings und der Veröffentlichung von neuen Erkennungen etwas Zeit vergeht. Daher kann es bei derartigen unverlangt zugesandten Dokumenten bereits helfen, einige Stunden abzuwarten. Und natürlich bleibt weiterhin ein Grundpfeiler des Sicherheitskonzepts, die Mitarbeiter zu schulen: Die Regeln beim Umgang mit unverlangt zugesandten Dateien in E-Mails gelten auch dann, wenn der Anhang in Cloud-Speicher wie Dropbox abgelegt wird.