Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.735.396 Produkten

Caroline Berger 337

Krypto-Trojaner RedBoot infiziert MBR und zerstört Dateien

Krypto-Trojaner RedBoot infiziert MBR und zerstört Dateien

Eine neue Ransomware treibt ihr Unwesen im Master Boot Record von Windows-PCs. Darüber hinaus verschlüsselt sie auch Dateien – ohne jedoch einen Weg zur Entschüsselung zu bieten.

Die von Bleepingcomputer analysierte Ransomware RedBoot verschlüsselt den MBR (Master Boot Record) des infizierten PCs und modifiziert die Partitionstabelle. Dies verhindert effektiv, dass Windows starten kann. Stattdessen wird eine Meldung des Erpressers angezeigt: Der Computer und alle seine Dateien seien verschlüsselt, der Nutzer solle sich per E-Mail mit den Entwicklern in Verbindung setzen, um Anweisungen für die Entschlüsselung zu erhalten.

Anzeige

Nachdem RedBoot ausgeführt wurde, überschreibt es zunächst den MBR mit mitgeliefertem und kompiliertem Assemblercode. Daraufhin werden die zwei ebenfalls mitgelieferten Programme main.exe und protect.exe gestartet. Das erste Programm durchsucht den Computer und verschlüsselt ausführbare Programme, DLLs sowie Dokumente und Bilder. Dabei werden sie mit der Endung .locked versehen. Gleichzeitig sorgt protect.exe dafür, dass main.exe möglichst störungsfrei arbeiten kann und blockiert Programme, welche die Infektion beeinträchtigen oder verhindern könnten. Dazu gehört unter anderem der Task-Manager. Ist die Verschlüsselung abgeschlossen, startet die Ransomware den PC neu, wobei statt Windows nun das oben genannte Erpresserschreiben angezeigt wird.

Die Analysten von Bleepingcomputer haben keine Möglichkeit gefunden, einen Entschlüsselungscode einzugeben, daher sind von RedBoot verschlüsselte Daten vermutlich nicht wiederherstellbar. Entweder RedBoot ist eine sehr schlecht geschriebene und verbuggte Ransomware oder sie war nie dazu ausgelegt, die Daten wieder entschlüsseln zu können – damit wäre sie als Wiper einzuordnen. Die in AutoIT geschriebene Ransomware ahmt mit dem Ersetzen des MBR die in Deutschland verbreitete Ransomware Petya nach, welche dieses Verfahren ebenfalls eingesetzt hat. RedBoot gelangt über in der Quelle nicht genannte Wege auf den PC, üblicherweise verbreitet sich Ransomware über infizierte E-Mail-Anhänge. (Caroline Berger) / (rei)

337 Kommentare

Themen:

Anzeige
  1. Alles, was wir bisher über den Petya/NotPetya-Ausbruch wissen

    Alles was wir bisher über den Petya-Ausbruch wissen

    Ein riesiger Ausbruch eines weiteren Erpressungstrojaners hält die Welt in Atem. Wie kam es zu dem Angriff, wer profitiert davon und was kann ich unternehmen, um mich zu schützen? Wir haben den aktuellen Wissensstand zusammengetragen.

  2. Ransomware Nuclear BTCWare soll sich über Remote Desktop Services einschleichen

    Ransomware Nuclear BTCWare soll sich über Remote Desktop Services einschleichen

    Sicherheitsforscher sind auf einen Erpressungstrojaner gestoßen, der Windows-Computer nicht wie bisher gewohnt via Mailanhang infiziert.

  3. WannaCry: Microsoft liefert Sicherheits-Patches für veraltete Windows-Versionen

    WannaCry: Microsoft liefert Sicherheits-Patches für veraltete Windows-Versionen

    Selbst das 16 Jahre alte Windows XP, das Microsoft seit 2014 nicht mehr pflegt, bekam nun einen Sicherheits-Patch. Die dramatischen Folgen der WannaCry-Attacke zwingen den Konzern zum Handeln.

  4. Petya/NotPetya: Kein Erpressungstrojaner, sondern ein "Wiper"

    Petya/NotPetya: Kein Erpressungstrojaner sondern ein "Wiper"

    Nach eingehenden Analysen des Schädlings NotPetya sind sich die meisten Experten einig: Der Schädling hatte es nicht auf Geld abgesehen, sondern auf Randale, sprich: auf möglichst großen Datenverlust bei den Opfern.

  1. So sichern Sie Windows 10 gegen Erpresser-Trojaner ab

    Erpresser-Trojaner gehören zu den fiesesten Bedrohungen für PCs. Mit einigen Vorkehrungen können Sie sich gegen Lösegeldforderungen schützen.

  2. Ransomware: So entfernen Sie Verschlüsselungs-Trojaner

    Wenn Ihre Daten von einem Verschlüsselungs-Trojaner gekapert wurden, heißt es: Ruhe bewahren. Wir zeigen, was Sie gegen Ransomware tun können.

  3. Virenschutz für Ihren Windows-PC

    Möchten Sie Ihren PC so gut es geht gegen Viren schützen? Dann lesen Sie hier unsere Tipps zum Thema Virenschutz.

  1. China bei Elektroautos weit voraus

    China setzt bei Elektoautos Maßstäbe

    Lange waren deutsche Hersteller auf dem wichtigsten Automarkt der Welt kaum zu schlagen. Doch im rasant wachsenden Geschäft mit Elektroautos droht die chinesische Konkurrenz davonzufahren.

  2. Ruckler adé: AMD-Microcode-Update AGESA 1002a behebt Bildraten-Einbrüche mit Ryzen-Kombiprozessoren

    Ruckler adé: AMD-Microcode-Update AGESA 1002a behebt Bildraten-Einbrüche mit Ryzen 3 2200G und Ryzen 5 2400G

    Ein neues Microcode-Update für AMDs Kombiprozessoren Ryzen 3 2200G und Ryzen 5 2400G verhindert, dass deren GPU unter Last kurzzeitig in den Leerlauf-Modus schaltet.

  3. EU-Plan: 20 Milliarden Euro für Künstliche Intelligenz bis 2020

    EU-Plan: 20 Milliarden Euro für Künstliche Intelligenz bis 2020

    Die EU-Kommission will mit einem Maßnahmenpaket die öffentlichen und privaten Investitionen in Künstliche Intelligenz deutlich steigern. Die Entwicklung soll mit Daten aus den Bereichen Verkehr, Gesundheit und Forschung angefüttert werden.

  4. Vorstellung: Hyundai i20 Facelift

    Hyundai i20 Facelift

    Es wird vermutlich nicht die letzte Angebotsbeschneidung sein, die Diesel-Interessenten hinnehmen müssen. Hyundai überarbeitet den Kleinwagen i20 und nimmt das als Anlass, die beiden Selbstzünder mit 75 und 90 PS aus dem Sortiment zu nehmen

Anzeige