Mo, 19. November 2018

RedBoot im MBR

26.09.2017 12:17

Erpressertrojaner nistet sich tief im System ein

IT-Sicherheitsforscher von Bleepingcomputer haben eine neue Ransomware, also einen Daten verschlüsselnden Erpresservirus entdeckt, der sich extrem tief im System einnistet. RedBoot verändert die Partitionstabelle und verschlüsselt den für den Systemstart unerlässlichen Master Boot Record (MBR). Eine Möglichkeit, die Daten wiederherzustellen, gibt es offenbar nicht.

Normalerweise gehen Erpresserviren anders vor, fordern von ihren Opfern eine Art Lösegeld in der Kryptowährung Bitcoin. Bei RedBoot fällt diese Forderung laut einem Bericht von "Heise Security" weg. Wird man Opfer der Malware, sind die verschlüsselten Daten also verloren.

Das spreche dafür, dass man es entweder mit einer schlecht programmierten Malware zu tun habe oder dass es den Hintermännern gar nicht ums Geldverdienen, sondern um die Zerstörung von Daten geht, heißt es in dem Bericht.

Verschlüsselungs-Tool kommt mit "Bodyguard"
Die Infektion des PCs läuft so ab: Einmal im System, überschreibt RedBoot zunächst den Master Boot Record mit seinem eigenen Code. Anschließend werden zwei Programme gestartet, von denen eines für die Verschlüsselung der Daten zuständig ist, während das andere es vor unerwünschten Zugriffen - etwa durch Antivirensoftware oder den Task Manager - schützt.

Ist die Verschlüsselung abgeschlossen, startet das System neu. Statt Windows wird nun allerdings nur mehr der Begrüßungsbildschirm von RedBoot angezeigt, auf dem der User darüber informiert wird, wie er mit den Hintermännern in Kontakt treten kann. Statt einer Lösegeldforderung gibt es eine Benutzeridentifikation, mit der sich der User bei den RedBoot-Machern ausweisen muss - möglicherweise, um dann ein individuelles Lösegeld auszuhandeln.

Verbreitungsweg bisher unklar
Wie sich RedBoot verbreitet, geht aus der Analyse durch BleepingComputer nicht hervor. Wenn sich die Infektion auf ähnlichen Wegen wie andere Vertreter der Kategorie Ransomware verbreitet, dürfte die Malware aber vor allem als E-Mail-Anhang kursieren.

Um sich vor RedBoot zu schützen, sollten Sie erhöhte Vorsicht beim Umgang mit E-Mails an den Tag legen und fragwürdige Anhänge nicht öffnen. Damit Ihre Daten im Fall einer Infektion nicht verloren gehen, sollten Sie diese zudem regelmäßig auf nicht permanent mit dem System verbundene Datenträger, etwa eine externe Festplatte, sichern.

 krone.at
krone.at

Kommentare

Eingeloggt als 
Nicht der richtige User? Logout

Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung.

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Aktuelle Schlagzeilen
Nutzung eingeschränkt
E-Scooter: No-Parking-Zonen und Tempo-Drosselung
Elektronik
Bei 2:1 in Nordirland
Die Noten: Schlager war unser bester Mann am Platz
Fußball International
Nach 2:1 in Nordirland
ÖFB-Kapitän: „Das müssen wir für 2019 mitnehmen“
Fußball International
Frühgeburten
Wenn es Babys eilig haben
Gesund & Fit
Grausame Drohungen
Europas Königskinder in höchster Lebensgefahr?
Video Stars & Society

Newsletter

Melden Sie sich hier mit Ihrer E-Mail-Adresse an, um täglich den "Krone"-Newsletter zu erhalten.