RedBoot-Ransomware verschlüsselt nicht nur Daten, sondern überschreibt auch den Bootsektor

Diskutiere RedBoot-Ransomware verschlüsselt nicht nur Daten, sondern überschreibt auch den Bootsektor im IT-News Forum im Bereich Community; Nutzer, die weiterhin ohne zu überlegen unbekannte E-Mails öffnen, können sich durch einen infizierten Mail-Anhang die neue RedBoot-Ransomware auf...
maniacu22

maniacu22

Erfahrener Benutzer
Threadstarter
Dabei seit
05.05.2014
Beiträge
2.314
Ort
Leipzig
Version
Windows 10 Pro 64 Bit - Build 1709
System
Intel Core i5-3570K, 32 GB RAM, 500 GB Crucial MX200, HIS Radeon HD 5750 Passiv
Nutzer, die weiterhin ohne zu überlegen unbekannte E-Mails öffnen, können sich durch einen infizierten Mail-Anhang die neue RedBoot-Ransomware auf dem System einfangen, die nicht nur sämtliche auf der Festplatte befindlichen Daten verschlüsselt, sondern zusätzlich noch den Bootsektor umschreibt, so dass ein Neustart und selbst eine Neuinstallation von Windows nicht mehr möglich istnn

Jigsaw, Petya und nun auch das neue RedBoot gehören allesamt in die Riege der Ransomware, welche die Daten auf betroffenen Rechnern verschlüsseln und diese "theoretisch" nur wieder freigeben, wenn ein entsprechendes Lösegeld gezahlt worden ist. Die neue RedBoot-Ransomware, welche von Malware Blocker via bleepingcomputer entdeckt worden ist, soll sich über infizierte E-Mail-Anhänge verteilen, welche sobald diese geöffnet werden, fünf Dateien auf dem Datenträger entpacken und ein Skript für die Überschreibung des Boot-Sektors sowie der Verschlüsselung sämtlicher Daten sorgt. Diese beiden Vorgänge in Kombination sorgen letztendlich dafür, dass selbst nach einem Windows-Neustart keine Möglichkeit mehr besteht, die Daten auf irgendwelchen Wegen wieder entschlüsseln zu können. Selbst der Weg, bei welchem die Daten auf einer zweiten Partition liegen und Windows neu installiert wird, soll nicht zum Erfolg führen.

Wie der Name RedBoot schon suggeriert, erhalten betroffene Nutzer nach einem Neustart den oben ersichtlichen roten Boot-Bildschirm, welcher lediglich über den Zustand des PCs informiert und eine E-Mail-Adresse angibt, an welche man sich mit einem eingeblendeten Identifikations-Code wenden solle, um weitere Details über eine zu entrichtende Lösegeldzahlung zu erhalten.

Da aber RedBoot keinerlei sichtbaren Möglichkeiten bietet, irgendwo einen Entsperr-Code einzugeben, ist es fraglich, ob man nach der Zahlung des Lösegelds überhaupt wieder an seine Daten gelangt. Da es unwahrscheinlich ist, dass jeder betroffene Nutzer einen ein-eindeutig zuzuordnenden ID-Code erhält, kann man wohl davon ausgehen, dass dieser nur angezeigt wird, um dem Opfer zu suggerieren, dass nach einer Zahlung wieder alles in Ordnung kommt.


Um zukünftigen Ransomware-Angriffen vorzubeugen, wird Microsoft mit dem Fall Creators Update eine neue Schutzfunktion namens "Controlled Folder Access" einführen, die zwar nicht dafür sorgen kann, dass unachtsame Nutzer weiterhin unbekannte E-Mail-Anhänge öffnen, aber zumindest den Anwender mit einer Art Schreibschutz für auswählbare Verzeichnisse versorgt, die eine Verschlüsselung durch Ransomware unterbinden können. Zwar würde der Bootsektor im Falle von RedBoot immer noch überschrieben werden können, doch würden sich die persönlichen Daten retten lassen.

Der Beste Schutz besteht aber immer noch darin, eben im Vorfeld zu prüfen, welche E-Mail-Anhänge man von welchen Absendern öffnet und zusätzlich immer noch regelmäßige Backups auf eine externe HDD oder ein NAS durchzuführen.

Meinung des Autors: RedBoot klingt echt gefährlich und ich hoffe inständig, dass die meisten unserer Foren-Leser wissen, dass man keine unbekannten E-Mails öffnet. Wie auch im Text beschrieben, gehe ich auch davon aus, dass ihr zumindest eure wichtigsten Daten extern noch mindestens einmal gesichert habt, oder?
 
Thema:

RedBoot-Ransomware verschlüsselt nicht nur Daten, sondern überschreibt auch den Bootsektor

RedBoot-Ransomware verschlüsselt nicht nur Daten, sondern überschreibt auch den Bootsektor - Ähnliche Themen

  • OneDrive for Business Ransomware Detection and Recovery

    OneDrive for Business Ransomware Detection and Recovery: Hallo, für das OneDrive gibt es einen Ransomware Schutz - Notification und Recovery Prozess. Gibt es diesen auch für OneDrive for Business und...
  • Ransomware-Datenwiederherstellung via OneDrive

    Ransomware-Datenwiederherstellung via OneDrive: Hallo. Ich habe ein Problem mit OneDrive. Also eigentlich läuft alles prima, alles wird synchronisiert. Wenn ich jedoch in der Windows-Sicherheit...
  • Seit einigen Tagen öfters Meldung von Ransomware-Schutz zu: IAStorDataMgrSvc.exe

    Seit einigen Tagen öfters Meldung von Ransomware-Schutz zu: IAStorDataMgrSvc.exe: Hallo an alle netten Leute hier :-) seit gestern - 06.05.20 - kommt nun schon einige mal der Warnhinweis zum Ramsomware-Schutz. Siehe...
  • Seit einigen Tagen öfters Meldung von Ransomware-Schutz zu: IAStorDataMgrSvc.exe

    Seit einigen Tagen öfters Meldung von Ransomware-Schutz zu: IAStorDataMgrSvc.exe: Hallo an alle netten Leute hier :-) seit gestern - 06.05.20 - kommt nun schon einige mal der Warnhinweis zum Ramsomware-Schutz. Siehe...
  • Ähnliche Themen
  • OneDrive for Business Ransomware Detection and Recovery

    OneDrive for Business Ransomware Detection and Recovery: Hallo, für das OneDrive gibt es einen Ransomware Schutz - Notification und Recovery Prozess. Gibt es diesen auch für OneDrive for Business und...
  • Ransomware-Datenwiederherstellung via OneDrive

    Ransomware-Datenwiederherstellung via OneDrive: Hallo. Ich habe ein Problem mit OneDrive. Also eigentlich läuft alles prima, alles wird synchronisiert. Wenn ich jedoch in der Windows-Sicherheit...
  • Seit einigen Tagen öfters Meldung von Ransomware-Schutz zu: IAStorDataMgrSvc.exe

    Seit einigen Tagen öfters Meldung von Ransomware-Schutz zu: IAStorDataMgrSvc.exe: Hallo an alle netten Leute hier :-) seit gestern - 06.05.20 - kommt nun schon einige mal der Warnhinweis zum Ramsomware-Schutz. Siehe...
  • Seit einigen Tagen öfters Meldung von Ransomware-Schutz zu: IAStorDataMgrSvc.exe

    Seit einigen Tagen öfters Meldung von Ransomware-Schutz zu: IAStorDataMgrSvc.exe: Hallo an alle netten Leute hier :-) seit gestern - 06.05.20 - kommt nun schon einige mal der Warnhinweis zum Ramsomware-Schutz. Siehe...
  • Oben