So, 24. Juni 2018

RedBoot im MBR

26.09.2017 12:17

Erpressertrojaner nistet sich tief im System ein

IT-Sicherheitsforscher von Bleepingcomputer haben eine neue Ransomware, also einen Daten verschlüsselnden Erpresservirus entdeckt, der sich extrem tief im System einnistet. RedBoot verändert die Partitionstabelle und verschlüsselt den für den Systemstart unerlässlichen Master Boot Record (MBR). Eine Möglichkeit, die Daten wiederherzustellen, gibt es offenbar nicht.

Normalerweise gehen Erpresserviren anders vor, fordern von ihren Opfern eine Art Lösegeld in der Kryptowährung Bitcoin. Bei RedBoot fällt diese Forderung laut einem Bericht von "Heise Security" weg. Wird man Opfer der Malware, sind die verschlüsselten Daten also verloren.

Das spreche dafür, dass man es entweder mit einer schlecht programmierten Malware zu tun habe oder dass es den Hintermännern gar nicht ums Geldverdienen, sondern um die Zerstörung von Daten geht, heißt es in dem Bericht.

Verschlüsselungs-Tool kommt mit "Bodyguard"
Die Infektion des PCs läuft so ab: Einmal im System, überschreibt RedBoot zunächst den Master Boot Record mit seinem eigenen Code. Anschließend werden zwei Programme gestartet, von denen eines für die Verschlüsselung der Daten zuständig ist, während das andere es vor unerwünschten Zugriffen - etwa durch Antivirensoftware oder den Task Manager - schützt.

Ist die Verschlüsselung abgeschlossen, startet das System neu. Statt Windows wird nun allerdings nur mehr der Begrüßungsbildschirm von RedBoot angezeigt, auf dem der User darüber informiert wird, wie er mit den Hintermännern in Kontakt treten kann. Statt einer Lösegeldforderung gibt es eine Benutzeridentifikation, mit der sich der User bei den RedBoot-Machern ausweisen muss - möglicherweise, um dann ein individuelles Lösegeld auszuhandeln.

Verbreitungsweg bisher unklar
Wie sich RedBoot verbreitet, geht aus der Analyse durch BleepingComputer nicht hervor. Wenn sich die Infektion auf ähnlichen Wegen wie andere Vertreter der Kategorie Ransomware verbreitet, dürfte die Malware aber vor allem als E-Mail-Anhang kursieren.

Um sich vor RedBoot zu schützen, sollten Sie erhöhte Vorsicht beim Umgang mit E-Mails an den Tag legen und fragwürdige Anhänge nicht öffnen. Damit Ihre Daten im Fall einer Infektion nicht verloren gehen, sollten Sie diese zudem regelmäßig auf nicht permanent mit dem System verbundene Datenträger, etwa eine externe Festplatte, sichern.

 krone.at
krone.at

Das könnte Sie auch interessieren

Kommentar schreiben

Sie haben einen themenrelevanten Kommentar? Dann schreiben Sie hier Ihr Storyposting! Sie möchten mit anderen Usern Meinungen austauschen oder länger über ein Thema oder eine Story diskutieren? Dafür steht Ihnen jederzeit unser krone.at-Forum, eines der größten Internetforen Österreichs, zur Verfügung. Sowohl im Forum als auch bei Storypostings bitten wir Sie, unsere AGB und die Netiquette einzuhalten!
Diese Kommentarfunktion wird prä-moderiert. Eingehende Beiträge werden zunächst geprüft und anschließend veröffentlicht.

Kommentar schreiben
500 Zeichen frei
Kommentare
324

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Newsletter

Melden Sie sich hier mit Ihrer E-Mail-Adresse an, um täglich den "Krone"-Newsletter zu erhalten.