Zitat:

Es ist völlig wumpe ob langsam oder schnell formatiert wird. Das Formatieren erstellt nur das Dateisystem auf der angebebenen Partition oder dem Volume neu. Da wird nix am MBR gemacht beim Befehl format.

Was schreib ich denn die ganze Zeit mit Verweis auf das andere Forum? das eben formatieren nicht reicht und mit Verweis auf die beiden Threads das ein neu schreiben des MBR wohl nicht reicht und dieser Sektor der Festplatte wohl genullt werden muss weil sich Petya wohl teilweise so stark da reinsetzt das es das neu schreiben des MBR überstehen würde. Wenn du es besser weißt(oder denkst du weißt es besser als die User des anderen Forums)cosinus, dann ist es eben so.

Du reißt meine Postings wieder voll aus dem Kontext!

Ich hab nie behauptet, dass ein einfaches Formatieren reiche, aber du hast meine Ausführungen mit dem Windows-Setup weggelassen!

Und bei MBR gibt es kein stark reinsetzen! Wenn du die ersten 512 Bytes einer MBR-Schema-HDD null, dann sieht die danach völlig leer aus! Und genau dieser MBR wird bei einem Windows-Setup auch neu geschrieben.

Deswegen versteh ich nicht, warum man ein diskpart clean all machen muss wenn die Theorie etwas ganz anderes besagt.

Was befindet sich denn in den ersten Sektoren einer Festplatte und warum und was wird von welchem Befehl wie ueberschrieben? Das waere eventuell die Antwort.

Und auf welchen Wegen kann man sicher stellen, dass man in der Bootreihenfolge vor dem OS steht? Ich hoffe, dass solche Grundlagen gelehrt werden bei der Ausbildung zum Malwarejaeger.

Wobei es da noch alternative Konzepte gibt, die von konventionellen Bootkits zum Beispiel genutzt werden um vor Ort zu bleiben.

Zitat:

Zitat von bombinho

Ich hoffe, dass solche Grundlagen gelehrt werden bei der Ausbildung zum Malwarejaeger.

Dir ist schon klar, dass purzel hier nicht zum malwareteam gehört?

Purzelbaer nicht, das ist korrekt.

https://blog.malwarebytes.org/threat...ya-ransomware/

Die Screenshots enthalten auf den zweiten Blick allerhand Informationen wie Offsets und Sektornummern.

Zitat:

Ich hab nie behauptet, dass ein einfaches Formatieren reiche, aber du hast meine Ausführungen mit dem Windows-Setup weggelassen!

Zitat:

Und bei MBR gibt es kein stark reinsetzen! Wenn du die ersten 512 Bytes einer MBR-Schema-HDD null, dann sieht die danach völlig leer aus! Und genau dieser MBR wird bei einem Windows-Setup auch neu geschrieben.

cosinus, so wie ich das bei dem einen User verstanden habe, konnte er nach dem formatieren der Festplatte das Setup der Windows CD nicht starten und Petya kam dem zuvor:

Zitat:

Anschließend wieder in das notebook eingebaut und jetzt wollte ich Win 7 neu installieren, wenn ich aber ins Bios will kommt wieder der Virendesktop!

Wie also hätte er den MBR mit dem Windows CD Setup neu schreiben sollen? Ausserdem vermute ich das selbst das petya im MBR überlebt, denn:

Zitat:

Anstelle von Dateien nacheinander Verschlüsselung, verweigert es den Zugriff auf das gesamte System von Low-Level-Strukturen auf der Scheibe angreifen. Die dies Autoren der Ransomware haben nicht nur ihre eigenen erstellt Bootloader , sondern auch einen kleinen Kern, der 32 Sektoren lang ist. Petja Dropper schreibt den bösartigen Code am Anfang der Platte. Die des betroffenen Systems Master Boot Record (MBR) wird von der benutzerdefinierten Bootloader überschrieben , die einen kleinen bösartigen Kernel lädt. Dann geht dieser Kernel mit weiteren Verschlüsselung. Petja Erpresserbrief heißt es, dass es die volle Platte verschlüsselt, aber das ist nicht wahr. Stattdessen verschlüsselt sie die Master File Table (MFT) , so dass das Dateisystem nicht lesbar ist.

Quelle: https://translate.google.de/translat...e/&prev=search

Purzelbaer, kennst Du den prinzipiellen logischen Aufbau von Festplatten?

Also die Unterteilung in Zylinder, Kopf, Sektor? (Ahh, ich glaube im Deutschen eher Spur statt Zylinder)

Zitat:

Zitat von bombinho

Purzelbaer, kennst Du den prinzipiellen logischen Aufbau von Festplatten?
Also die Unterteilung in Zylinder, Kopf, Sektor?

Nein.

Also, Du musst Dir das so vorstellen, dass da nicht wie auf einer CD/DVD usw. eine Spirale drauf ist sondern die Spuren sind geschlossene Ringe. Da sich aber mehrere Platten (Also Festplatten-Platten) drin befinden koennen, haben diese Platten Lesekoepfe. In so eine Spur passen aber mehrere Sektoren.

Wenn ein Rechner auf eine Platte zugreift, dann muss er in der Lage sein, die Daten zu finden. Also befindet sich auf der ersten Platte in der ersten Spur im ersten Sektor der MBR.

Dieser MBR koennte jetzt enthalten, wo die Daten auf der Platte liegen aber dann koennte man nicht starten. Enthielte er aber ausfuehrbare Daten, dann wuesste man nicht, wo das Betriebssystem ist. Also enthaelt er normalerweise als allererstes eine Anweisung, das folgende zu ignorieren und mit der Ausfuehrung erst an einem etwas entfernten Punkt weiterzumachen.

Dieser uebersprungene Datenbereich enthaelt nun (normalerweise) die Partitionstabelle, also quasi die Daten, wo sich Daten befinden.

Und danach kommt dann der Code, der festlegt, was weiterhin passieren soll.

Nun ist es aber so, dass eine Partition niemals in dieser Spur anfaengt sondern fruehestens in der naechsten. Darum sind da einige scheinbar ungenutzte Sektoren.
In diese Sektoren werden gerne Bootmanager geschrieben.

Befaende sich so ein Bootmanager in Spur 0, dann wuerde der ausfuehrbare Code des MBR so umgeschrieben, dass im Anschluss der Bootmanager ausgefuehrt wird.

Das normale Neuschreiben des MBR wird aber tunlichst die Partitionstabelle unangetastet lassen, weil das ansonsten ein Totalverlust der Daten sein koennte. In dieser Partitionstabelle ist festgelegt, welche Partition ohne Bootmanager gestartet werden wuerde.
Es wird nur der ausfuehrbare Code ersetzt, welcher dann in aller Regel den Bootmanager ignoriert und an der in der Partitionstabelle angegebenen Stelle weiterbootet.

Nun koennte man den Bootmanager, wenn vorhanden, manipulieren oder einen eigenen benutzen um vor dem OS zur Ausfuehrung zu kommen.

Man koennte aber auch die Partitionstabelle so manipulieren, dass der eigene Code als naechstes ausgefuehrt wird und dann die Originale als virtuelle Partitionstabelle zur Verfuegung stellt. Da koennte aber ein Bootmanager reinfunken.

Petya kuemmert sich um die Konventionen mehr oder weniger gar nicht sondern ueberschreibt den MBR samt Partitionstabelle.

Ob der Speicherbereich mit der Partitionstabelle so manipuliert ist, dass Petya trotzdem zur Ausfuehrung kommt, das ist leider in der Analyse nicht beschrieben.

Aber durch das Ueberschreiben der Partitionstabelle alleine ist, vor allem bei stark fragmentierten Systemen fast vollstaendiger Datenverlust die Folge. Petya aber speichert die ueberschriebenen Sektoren vor seinem eigenen Code mit einer Verschleierung (Xor "7"). Also liesse sich das alles recht gut Wiederherstellen, wenn Petya nicht auch noch das gesamte Dateisystem verschluesselt haette.

Sorry, irgendwie war der erste Teil verloren gegangen.

Im Prinzip kommt, solange das Bios nicht komplett von einem anderen Datentraeger bootet bis zur Eliminierung von Petya immer Petya, Petyafragmente oder zufaelliger Code zur Ausfuehrung.

Ich hab noch eine Info meines Bekannten mit dem ich gerade telefoniert habe: er sagte mir das Windows Setup der Windows CD konnte wegen der Petya Infizierung die Festplatte nicht erkennen und die Festplatte hatte ein ganz anderes Dateisystem gehabt durch Petya. Selbst wenn er es versucht hätte den MBR neu zu schreiben mit dem Setup, wäre das deshalb gescheitert weil schlicht und ergreifend die Festplatte nicht vom Windows Setup erkannt werden kann duch das veränderte Dateisystem.

Jupp, siehe den Teil mit der Partitionstabelle.

Vielleicht muss ich noch die Partitionstabelle erklaeren.
Auf einer Festplatte koennen mehrere Laufwerke sein. Also zum Beispiel C:, D:, etc.

Das sind natuerlich keine Festplatten sondern Partitionen. Und wo genau diese sich befinden, dass ist (normalerweise) in der Partitionstabelle enthalten.

Hat Petya diese zerstoert, dann weiss niemand, wo die sein sind, aber wie erwaehnt, laesst sich das relativ einfach wiederherstellen. Aber nach der Wiederherstellung sind die verschluesselten Daten mehr oder weniger entgueltig verloren, da dabei die zur Entschluesselung notwendigen Informationen von Petya ueberschrieben werden.

Deswegen ist es immer anzuraten, einen solchen Datentraeger auszubauen und vorerst mit einem Neuen weiterzumachen, fuer den Fall, dass z.B. eine Schwachstelle in der Schluesselerzeugung oder die Schluesseldatenbank gefunden werden.

Auch wenn sich nur ein Laufwerk auf der Platte befindet sind natuerlich z.B. Anfangspunkt und Endpunkt in der Partitionstabelle enthalten.

Deswegen kann man Laufwerke auch Verkleinern oder Vergroessern (solange es der Platz hergibt).

bombinho, selbst wenn man den MBR samt Partitionstabelle wiederherstellen könnte, hätte man dann als User das Problem das Petya alles auf der Systempartition/Systemfestplatte verschlüsselt inkl. Windows Verzeichnis und nicht nur wie bei Locky oder Teslacrypt nur das Benutzerkonto was da drin ist. Andererseits habe ich im G-Data Blog gelesen das Petya nur auf die Systemfestplatte losgeht und das lässt die Hoffnung das andere Partitionen auf der Festplatte verschont bleiben. Wie ich aber die Hacker einschätze wird es eine neue Generation von Petya geben die alle Partitionen wenn nicht sogar alle Festplatten im Computer verschlüsselt.

Leider ergibt sich aus der Analyse auch nicht, inwiefern eventuell vorhandene mehrere verwendete Platten angegriffen werden und ebensowenig, wie mit Laufwerken mit mehreren Partitionen verfahren wird. Sollte nur die Betriebssystempartition ein verschluesseltes Dateisystem haben, koennte es durchaus lohnend sein, die originale gespeicherte Partitionstabelle wiederherzustellen.

Denn dann waere die Datenpartition einfach wieder da. Aber es trennen nur wenige Leute bewusst ihre Partitionen. Immerhin ist es mir schon bei vielen vorkonfigurierten Rechnern untergekommen, dass mehrere Partitionen angelegt waren.

@purzelbaer:
Naja, wenn jemand meine Systemplatte zerschmeisst, dann kann ich da nur muede drueber laecheln, denn ausser dem OS und den Programmen ist da nix weiter drauf. (Okay, falsch, es sind noch einige temporaere Daten drauf)

Im schlimmsten Fall habe ich danach ein frisch aufgesetztes System mit weniger Altlasten.

Aus diesem Grund mache ich von meiner Systemplatte auch keine Backups.

Petya verschluesselt nicht Alles, es lassen sich Sachen aus den Rohdaten wiederherstellen.

Zitat:

However, it is not true that the full disk is encrypted. If we view it by forensic tools, we can see many valid elements, including strings.

Eine moderne Festplatte mit grosser Kapazitaet voll zu verschluesseln wuerde viele Stunden bis Tage dauern.

Zitat:

Zitat von purzelbär

Wie ich aber die Hacker einschätze wird es eine neue Generation von Petya geben die alle Partitionen wenn nicht sogar alle Festplatten im Computer verschlüsselt.

Ja, die kurzen Codeschnipsel sehen geradezu aesthetisch aus. Da steckt mit Sicherheit noch Einiges in der Pipeline. Ich hoffe nur, dass der/diejenigen nicht an Exploits oder aehnliches kommen.

Allerdings wird das nicht ganz trivial mit dem Verschluesseln von weiteren Platten, denn moderne Dateisysteme koennen ganz schoen kompliziert sein. Ein Laufwerk kann ueber mehrere Partitionen oder gar Platten verteilt sein. Platten koennen mehrere Partitionen enthalten, Partitionen koennen mehrere Laufwerke enthalten und nahezu beliebige Mixturen davon usw.

Zitat:

Zitat von purzelbär

cosinus, so wie ich das bei dem einen User verstanden habe, konnte er nach dem formatieren der Festplatte das Setup der Windows CD nicht starten und Petya kam dem zuvor: Wie also hätte er den MBR mit dem Windows CD Setup neu schreiben sollen? Ausserdem vermute ich das selbst das petya im MBR überlebt, denn: Quelle: https://translate.google.de/translat...e/&prev=search

Also nochmal, ganz von Anfang:

1.) User baut infizierte Platte aus
2.) schließt die Platte an einen anderen (nicht infizierten) Rechner (USB?) an
3.) löscht da die bestehenden Partitionen
4.) erstellt eine neue und formatiert diese

Das einzige was da im MBR geändert wird, ist die Partitionstabelle: Partitionen löschen und neu anlegen. Ein Format der Partitionen ändert nix am MBR. Wenn Partitionen gelöscht oder erstellt werden wird auch nur der Teil für die Partitionstabelle angefasst, mehr nicht, also nicht der Teil mit dem Bootloader. Deswegen ist es da auch folgerichtig, dass der Bootloader von Petya da noch drauf ist.

Das Teil kann aber niemals vor dem BIOS/POST erscheinen, da erst später versucht wird von einem Laufwerk wie Festplatte, DVD oder USB-Stick zu booten. Die Reihenfolge ist ja BIOS hinterlegt. Wenn der Schreiberling da meint, er wolle ins BIOS mit F1, sieht aber dann den petya, dann hat er bestimmt was falsch gemacht. Zu spät die Setuptaste (um ins BIOS zu kommen) gedrückt oder es war garnicht F1. Mit F1 kommt man auch meistens nicht ins Setup. Das ist aber vom Hersteller abhängig; ich kenne F2, F10 und ENTF (DEL), fürs Bootmenü F8, F11 oder F12. Aber F1 um ins BIOS zu kommen daran kann ich mich nicht entsinnen.

Vgl http://winfuture.de/videos/Software/So-funktioniert-der-Krypto-Trojaner-Petya-16005.html

Zitat:

Zitat von purzelbär

Ich hab noch eine Info meines Bekannten mit dem ich gerade telefoniert habe: er sagte mir das Windows Setup der Windows CD konnte wegen der Petya Infizierung die Festplatte nicht erkennen und die Festplatte hatte ein ganz anderes Dateisystem gehabt durch Petya. Selbst wenn er es versucht hätte den MBR neu zu schreiben mit dem Setup, wäre das deshalb gescheitert weil schlicht und ergreifend die Festplatte nicht vom Windows Setup erkannt werden kann duch das veränderte Dateisystem.

Das kann so garnicht sein. Vllt kann das Windows-Setup die Partitionen nicht mehr lesen, weil nicht nur die MFT verschlüsselt wurde. Windows weigert sich auch von einem intakten Dateisystem zu lesen, wenn es auf dem "falschen" Partitionstyp liegt. (zB bei Linux-fdisk kannst du das schön sehen und editieren)