Hallo zusammen,
aus gegebenem Anlass hier eine Sicherheitswarnung.
Es gibt eine neue Locky Variante "Petya Ransomware".
Dieser Virus wird per ZIP Datei in Emails oder Dropbox Links verteilt und beinhaltet eine EXE.
Wird diese EXE ausgeführt, startet der Rechner sofort neu und begrüßt einen mit folgendem Bild:
Nach dem Drücken einer beliebigen Taste erscheint das folgende Bild mit einer Anleitung, wie die Festplatte wieder entschlüsselt werden kann.
Dieser Verschlüsselungsvirus schreibt das Dateisystem der Festplatte um, sodas nur noch dieser gefakte Bootloader mit den oberen Bildern erscheint.
Die Festplatte wird von keinem System mehr erkannt, wenn extern angeschlossen und Windows fragt sofort ob die Festplatte formatiert werden soll.
Ebenfalls in einem LiveLinux (Knoppix) kein rankommen auf die Festplatte.
Wir konnten in unserem Fall bis zum jetzigen Zeitpunkt noch keine Verteilung des Schädlings im Netzwerk feststellen.
Der Fall ereignete sich am 24.03.2016 gegen 10:15 Uhr.
Sollten wir weitere Erkenntnisse erlangen, werde ich den Thread sofort aktualisieren.
Bitte informiert auch eure Freunde und Kollegen.
Hier noch die E-Mail, in der der Link integriert war getarnt als Bewerbung in unserem Betrieb:
Edit: 24.03.2016 13:18
Zitat von Heise:
Nachtrag:
Wenn hier falsch, bitte verschieben.
aus gegebenem Anlass hier eine Sicherheitswarnung.
Es gibt eine neue Locky Variante "Petya Ransomware".
Dieser Virus wird per ZIP Datei in Emails oder Dropbox Links verteilt und beinhaltet eine EXE.
Wird diese EXE ausgeführt, startet der Rechner sofort neu und begrüßt einen mit folgendem Bild:
Nach dem Drücken einer beliebigen Taste erscheint das folgende Bild mit einer Anleitung, wie die Festplatte wieder entschlüsselt werden kann.
Dieser Verschlüsselungsvirus schreibt das Dateisystem der Festplatte um, sodas nur noch dieser gefakte Bootloader mit den oberen Bildern erscheint.
Die Festplatte wird von keinem System mehr erkannt, wenn extern angeschlossen und Windows fragt sofort ob die Festplatte formatiert werden soll.
Ebenfalls in einem LiveLinux (Knoppix) kein rankommen auf die Festplatte.
Wir konnten in unserem Fall bis zum jetzigen Zeitpunkt noch keine Verteilung des Schädlings im Netzwerk feststellen.
Der Fall ereignete sich am 24.03.2016 gegen 10:15 Uhr.
Sollten wir weitere Erkenntnisse erlangen, werde ich den Thread sofort aktualisieren.
Bitte informiert auch eure Freunde und Kollegen.
Hier noch die E-Mail, in der der Link integriert war getarnt als Bewerbung in unserem Betrieb:
Edit: 24.03.2016 13:18
Zitat von Heise:
nach unseren ersten Erkenntnissen verschlüsselt dieser Virus NICHT.
Alle Daten auf dem infizierten Rechner waren noch intakt und nicht chiffriert.
Der Virus überschreibt den Bootsektor/Bootmgr und startet noch vor Windows.
Das BIOS bliebt dabei zum Glück intakt.
Zum Entfernen (vorerst) von der Windows 7 CD Booten dann zu den Computerreparaturoptionen und die Eingabeaufforderung öffnen.
Folgendes eingeben: bootrec /fixmbr, bootrec /fixboot und bootrec /rebuildbcd
Jetzt sollte Windows wieder normal starten.
Ich kann nicht sagen, welche Daten sich noch von diesem Virus auf dem System befinden, oder was sonst noch ausgeführt wurde.
Aber wie nach jeder und gerade bei dieser Infektion hier gilt: Daten sichern und das Betriebssystem neu aufsetzten.
Alle Daten auf dem infizierten Rechner waren noch intakt und nicht chiffriert.
Der Virus überschreibt den Bootsektor/Bootmgr und startet noch vor Windows.
Das BIOS bliebt dabei zum Glück intakt.
Zum Entfernen (vorerst) von der Windows 7 CD Booten dann zu den Computerreparaturoptionen und die Eingabeaufforderung öffnen.
Folgendes eingeben: bootrec /fixmbr, bootrec /fixboot und bootrec /rebuildbcd
Jetzt sollte Windows wieder normal starten.
Ich kann nicht sagen, welche Daten sich noch von diesem Virus auf dem System befinden, oder was sonst noch ausgeführt wurde.
Aber wie nach jeder und gerade bei dieser Infektion hier gilt: Daten sichern und das Betriebssystem neu aufsetzten.
Nachtrag:
Die Festplatte wird von der Windows Wiederherstellungskonsole gar nicht mehr als Windows Partition erkannt.
Daher konnten wir die o.g. Schritte gar nicht ausführen.
Daher konnten wir die o.g. Schritte gar nicht ausführen.
Wenn hier falsch, bitte verschieben.
Zuletzt bearbeitet:
