Do, 20. September 2018

RedBoot im MBR

26.09.2017 12:17

Erpressertrojaner nistet sich tief im System ein

IT-Sicherheitsforscher von Bleepingcomputer haben eine neue Ransomware, also einen Daten verschlüsselnden Erpresservirus entdeckt, der sich extrem tief im System einnistet. RedBoot verändert die Partitionstabelle und verschlüsselt den für den Systemstart unerlässlichen Master Boot Record (MBR). Eine Möglichkeit, die Daten wiederherzustellen, gibt es offenbar nicht.

Normalerweise gehen Erpresserviren anders vor, fordern von ihren Opfern eine Art Lösegeld in der Kryptowährung Bitcoin. Bei RedBoot fällt diese Forderung laut einem Bericht von "Heise Security" weg. Wird man Opfer der Malware, sind die verschlüsselten Daten also verloren.

Das spreche dafür, dass man es entweder mit einer schlecht programmierten Malware zu tun habe oder dass es den Hintermännern gar nicht ums Geldverdienen, sondern um die Zerstörung von Daten geht, heißt es in dem Bericht.

Verschlüsselungs-Tool kommt mit "Bodyguard"
Die Infektion des PCs läuft so ab: Einmal im System, überschreibt RedBoot zunächst den Master Boot Record mit seinem eigenen Code. Anschließend werden zwei Programme gestartet, von denen eines für die Verschlüsselung der Daten zuständig ist, während das andere es vor unerwünschten Zugriffen - etwa durch Antivirensoftware oder den Task Manager - schützt.

Ist die Verschlüsselung abgeschlossen, startet das System neu. Statt Windows wird nun allerdings nur mehr der Begrüßungsbildschirm von RedBoot angezeigt, auf dem der User darüber informiert wird, wie er mit den Hintermännern in Kontakt treten kann. Statt einer Lösegeldforderung gibt es eine Benutzeridentifikation, mit der sich der User bei den RedBoot-Machern ausweisen muss - möglicherweise, um dann ein individuelles Lösegeld auszuhandeln.

Verbreitungsweg bisher unklar
Wie sich RedBoot verbreitet, geht aus der Analyse durch BleepingComputer nicht hervor. Wenn sich die Infektion auf ähnlichen Wegen wie andere Vertreter der Kategorie Ransomware verbreitet, dürfte die Malware aber vor allem als E-Mail-Anhang kursieren.

Um sich vor RedBoot zu schützen, sollten Sie erhöhte Vorsicht beim Umgang mit E-Mails an den Tag legen und fragwürdige Anhänge nicht öffnen. Damit Ihre Daten im Fall einer Infektion nicht verloren gehen, sollten Sie diese zudem regelmäßig auf nicht permanent mit dem System verbundene Datenträger, etwa eine externe Festplatte, sichern.

 krone.at
krone.at

Das könnte Sie auch interessieren

Kommentare

Eingeloggt als 
Nicht der richtige User? Logout

Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung.

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Aktuelle Schlagzeilen
Italo-Presse schimpft
Ronaldo-Rot „eine Beleidigung für den Fußball“
Fußball International
„Richtige Begrüßung“
Wirbel um Regeln für Wangenküsse an Schule
Oberösterreich
Die Wünsche im Detail
Metaller-Lohnrunde startet mit stolzen Forderungen
Österreich
Nach Lyon-Sensation
Nazi-Gruß: Dieser Fan wird lebenslang gesperrt
Fußball International
Spielkamerad gesucht
Wenn Kinder keine Freunde finden
Life

Newsletter

Melden Sie sich hier mit Ihrer E-Mail-Adresse an, um täglich den "Krone"-Newsletter zu erhalten.