Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.684.054 Produkten

Caroline Berger 337

Krypto-Trojaner RedBoot infiziert MBR und zerstört Dateien

Krypto-Trojaner RedBoot infiziert MBR und zerstört Dateien

Eine neue Ransomware treibt ihr Unwesen im Master Boot Record von Windows-PCs. Darüber hinaus verschlüsselt sie auch Dateien – ohne jedoch einen Weg zur Entschüsselung zu bieten.

Die von Bleepingcomputer analysierte Ransomware RedBoot verschlüsselt den MBR (Master Boot Record) des infizierten PCs und modifiziert die Partitionstabelle. Dies verhindert effektiv, dass Windows starten kann. Stattdessen wird eine Meldung des Erpressers angezeigt: Der Computer und alle seine Dateien seien verschlüsselt, der Nutzer solle sich per E-Mail mit den Entwicklern in Verbindung setzen, um Anweisungen für die Entschlüsselung zu erhalten.

Anzeige

Nachdem RedBoot ausgeführt wurde, überschreibt es zunächst den MBR mit mitgeliefertem und kompiliertem Assemblercode. Daraufhin werden die zwei ebenfalls mitgelieferten Programme main.exe und protect.exe gestartet. Das erste Programm durchsucht den Computer und verschlüsselt ausführbare Programme, DLLs sowie Dokumente und Bilder. Dabei werden sie mit der Endung .locked versehen. Gleichzeitig sorgt protect.exe dafür, dass main.exe möglichst störungsfrei arbeiten kann und blockiert Programme, welche die Infektion beeinträchtigen oder verhindern könnten. Dazu gehört unter anderem der Task-Manager. Ist die Verschlüsselung abgeschlossen, startet die Ransomware den PC neu, wobei statt Windows nun das oben genannte Erpresserschreiben angezeigt wird.

Die Analysten von Bleepingcomputer haben keine Möglichkeit gefunden, einen Entschlüsselungscode einzugeben, daher sind von RedBoot verschlüsselte Daten vermutlich nicht wiederherstellbar. Entweder RedBoot ist eine sehr schlecht geschriebene und verbuggte Ransomware oder sie war nie dazu ausgelegt, die Daten wieder entschlüsseln zu können – damit wäre sie als Wiper einzuordnen. Die in AutoIT geschriebene Ransomware ahmt mit dem Ersetzen des MBR die in Deutschland verbreitete Ransomware Petya nach, welche dieses Verfahren ebenfalls eingesetzt hat. RedBoot gelangt über in der Quelle nicht genannte Wege auf den PC, üblicherweise verbreitet sich Ransomware über infizierte E-Mail-Anhänge. (Caroline Berger) / (rei)

337 Kommentare

Themen:

Anzeige
  1. Alles, was wir bisher über den Petya/NotPetya-Ausbruch wissen

    Alles was wir bisher über den Petya-Ausbruch wissen

    Ein riesiger Ausbruch eines weiteren Erpressungstrojaners hält die Welt in Atem. Wie kam es zu dem Angriff, wer profitiert davon und was kann ich unternehmen, um mich zu schützen? Wir haben den aktuellen Wissensstand zusammengetragen.

  2. WannaCry: Microsoft liefert Sicherheits-Patches für veraltete Windows-Versionen

    WannaCry: Microsoft liefert Sicherheits-Patches für veraltete Windows-Versionen

    Selbst das 16 Jahre alte Windows XP, das Microsoft seit 2014 nicht mehr pflegt, bekam nun einen Sicherheits-Patch. Die dramatischen Folgen der WannaCry-Attacke zwingen den Konzern zum Handeln.

  3. Petya/NotPetya: Kein Erpressungstrojaner, sondern ein "Wiper"

    Petya/NotPetya: Kein Erpressungstrojaner sondern ein "Wiper"

    Nach eingehenden Analysen des Schädlings NotPetya sind sich die meisten Experten einig: Der Schädling hatte es nicht auf Geld abgesehen, sondern auf Randale, sprich: auf möglichst großen Datenverlust bei den Opfern.

  4. Ransomware Nuclear BTCWare soll sich über Remote Desktop Services einschleichen

    Ransomware Nuclear BTCWare soll sich über Remote Desktop Services einschleichen

    Sicherheitsforscher sind auf einen Erpressungstrojaner gestoßen, der Windows-Computer nicht wie bisher gewohnt via Mailanhang infiziert.

  1. So sicherst du Windows 10 gegen Erpresser-Trojaner ab

    Erpresser-Trojaner gehören zu den fiesesten Bedrohungen für PCs. Mit einigen Vorkehrungen kannst du dich gegen Lösegeldforderungen schützen.

  2. Ransomware: So entfernst du Verschlüsselungs-Trojaner

    Wenn deine Daten von einem Verschlüsselungs-Trojaner gekapert wurden, heißt es: Ruhe bewahren. Wir zeigen, was du gegen Ransomware tun kannst.

  3. Analysiert: Ransomware meets Info-Stealer - RAA und das diebische Pony

    Analysiert: Ransomware meets Info-Stealer - RAA und das diebische Pony

    Im Rahmen unserer Analysiert:-Serie geht es diesmal einem Erpressungs-Trojaner an den Code: Olivia von Westernhagen untersucht den in JavaScript realisierten RAA-Trojaner, der gleich auch noch eine Passwort-Klau-Malware im Gepäck hat.

  1. Allianz-Versicherung und Autoindustrie streiten um Autodaten

    Allianz-Versicherung und Autoindustrie streiten um Autodaten

    Die Daten moderner Autos sind bei Konzernen verschiedenster Branchen begehrt. Bei Unfällen mit autonom fahrenden Autos wollen Versicherungen mithilfe Aufzeichnungen klären, wer schuld ist - Mensch oder Maschine.

  2. Test: Peugeot 308 SW BlueHDi

    Peugeot 308

    Peugeot bietet bereits erste Euro 6d-Motoren, etwa im überarbeiteten 308 SW. Wir fuhren ihn nach seiner in optischer Hinsicht zum Glück nicht weiter erwähnenswerten Modellpflege mit der Zweiliter-Diesel-Motorisierung

  3. Magie des Lichts: Die Bilder der Woche (KW3)

    Die Magie des Lichts: Die Bilder der Woche (KW3)

    Ein entspannter Kater, faszinierende Naturlandschaften und geheimnisvolle Models: Die Fotografen der Bilder der Woche haben unterschiedliche Lichtstimmungen für ihre Motive genutzt, so entstanden atmosphärische Bilder.

  4. Missing Link: Von Maschinenethik und vom Datenschatz der Therapie- und Pflegeroboter

    Missing Link: Von Maschinenethik und Datenschatz der Therapie- und Pflegeroboter

    "Wie groß wäre das Interesse an den Daten von Michael Schumacher!" Roboter in Pflege und Therapie stellen uns vor ganz neue Probleme, was die Ethik im Robotereinsatz und den Datenschutz angeht, meint der Wirtschaftsinformatiker und Ethiker Oliver Bendel.

Anzeige