Erpressungstrojaner sind für Benutzer eine schlimme Sache. Fängt man sich eine derartige Ransomware ein, kann man nicht mehr auf seine Daten zugreifen und wird zu Zahlungen aufgefordert. Laut Heise häufen sich in Deutschland nun Berichte über den Erpressungstrojaner "Petya", der sich gezielt an deutschsprachige Personen wendet und über Dropbox verteilt wird.

Ungewöhnlicher Trojaner

"Petya" soll dabei durchaus ungewöhnlich vorgehen. Zum einen versuchen die Erpresser, Leute durch Emails mit gefälschten Bewerbungsunterlagen dazu zu bringen, den Trojaner auf die Festplatte zu laden. In perfektem Deutsch wird eine Bewerbung vorgetäuscht, bei der die angeblichen Bewerbungsunterlagen aufgrund der Größe nicht in der Mail, sondern in einem Dropbox-Ordner namens "Bewerbungsmappe" sein sollen.

Die .exe-Datei, die sich in dem sogar mit einem Bewerbungsfoto versehenen Ordner befindet, als "bewerbungsmappe-gepackt.exe" benannt ist und das Symbol eines bekannten Packprogramms verwendet, beinhaltet den Trojaner.

Master-Boot-Record wird manipuliert

Auch das Vorgehen des Trojaners selbst ist eher ungewöhnlich. "Petya" manipuliert den Master-Boot-Record (MBR) der Festplatte, wodurch er den gesamten Rechner sperrt, anstatt nur einzelne Dateien zu blockieren. Wird der Rechner gestartet, ist ein Totenkopf zu sehen.

Zugriff auf Dateien hat der Benutzer keine mehr. Die Erpresser behaupten, dass sie alle Festplatten verschlüsselt hätten und fordern den User dazu auf, Lösegeld auf einer Seite im Tor-Netz zu bezahlen. Ein Countdown versucht Betroffene zudem unter Druck zu setzen, da bei dessen Ablauf der doppelte Preis fällig sein soll.

Ob der Trojaner tatsächlich alle Daten verschlüsselt, ist bisher aber noch unklar. User sollten sich bereits präventiv über Maßnahmen gegen Erpressertrojaner informieren und wachsam sein. (red, 25.3.2016)