RedBoot-Ransomware verschlüsselt nicht nur Daten, sondern überschreibt auch den Bootsektor

Diskutiere RedBoot-Ransomware verschlüsselt nicht nur Daten, sondern überschreibt auch den Bootsektor im IT-News Forum im Bereich Community; Nutzer, die weiterhin ohne zu überlegen unbekannte E-Mails öffnen, können sich durch einen infizierten Mail-Anhang die neue RedBoot-Ransomware auf...
Nutzer, die weiterhin ohne zu überlegen unbekannte E-Mails öffnen, können sich durch einen infizierten Mail-Anhang die neue RedBoot-Ransomware auf dem System einfangen, die nicht nur sämtliche auf der Festplatte befindlichen Daten verschlüsselt, sondern zusätzlich noch den Bootsektor umschreibt, so dass ein Neustart und selbst eine Neuinstallation von Windows nicht mehr möglich istnn

Jigsaw, Petya und nun auch das neue RedBoot gehören allesamt in die Riege der Ransomware, welche die Daten auf betroffenen Rechnern verschlüsseln und diese "theoretisch" nur wieder freigeben, wenn ein entsprechendes Lösegeld gezahlt worden ist. Die neue RedBoot-Ransomware, welche von Malware Blocker via bleepingcomputer entdeckt worden ist, soll sich über infizierte E-Mail-Anhänge verteilen, welche sobald diese geöffnet werden, fünf Dateien auf dem Datenträger entpacken und ein Skript für die Überschreibung des Boot-Sektors sowie der Verschlüsselung sämtlicher Daten sorgt. Diese beiden Vorgänge in Kombination sorgen letztendlich dafür, dass selbst nach einem Windows-Neustart keine Möglichkeit mehr besteht, die Daten auf irgendwelchen Wegen wieder entschlüsseln zu können. Selbst der Weg, bei welchem die Daten auf einer zweiten Partition liegen und Windows neu installiert wird, soll nicht zum Erfolg führen.

Wie der Name RedBoot schon suggeriert, erhalten betroffene Nutzer nach einem Neustart den oben ersichtlichen roten Boot-Bildschirm, welcher lediglich über den Zustand des PCs informiert und eine E-Mail-Adresse angibt, an welche man sich mit einem eingeblendeten Identifikations-Code wenden solle, um weitere Details über eine zu entrichtende Lösegeldzahlung zu erhalten.

Da aber RedBoot keinerlei sichtbaren Möglichkeiten bietet, irgendwo einen Entsperr-Code einzugeben, ist es fraglich, ob man nach der Zahlung des Lösegelds überhaupt wieder an seine Daten gelangt. Da es unwahrscheinlich ist, dass jeder betroffene Nutzer einen ein-eindeutig zuzuordnenden ID-Code erhält, kann man wohl davon ausgehen, dass dieser nur angezeigt wird, um dem Opfer zu suggerieren, dass nach einer Zahlung wieder alles in Ordnung kommt.


Um zukünftigen Ransomware-Angriffen vorzubeugen, wird Microsoft mit dem Fall Creators Update eine neue Schutzfunktion namens "Controlled Folder Access" einführen, die zwar nicht dafür sorgen kann, dass unachtsame Nutzer weiterhin unbekannte E-Mail-Anhänge öffnen, aber zumindest den Anwender mit einer Art Schreibschutz für auswählbare Verzeichnisse versorgt, die eine Verschlüsselung durch Ransomware unterbinden können. Zwar würde der Bootsektor im Falle von RedBoot immer noch überschrieben werden können, doch würden sich die persönlichen Daten retten lassen.

Der Beste Schutz besteht aber immer noch darin, eben im Vorfeld zu prüfen, welche E-Mail-Anhänge man von welchen Absendern öffnet und zusätzlich immer noch regelmäßige Backups auf eine externe HDD oder ein NAS durchzuführen.

Meinung des Autors: RedBoot klingt echt gefährlich und ich hoffe inständig, dass die meisten unserer Foren-Leser wissen, dass man keine unbekannten E-Mails öffnet. Wie auch im Text beschrieben, gehe ich auch davon aus, dass ihr zumindest eure wichtigsten Daten extern noch mindestens einmal gesichert habt, oder?
 
Thema:

RedBoot-Ransomware verschlüsselt nicht nur Daten, sondern überschreibt auch den Bootsektor

RedBoot-Ransomware verschlüsselt nicht nur Daten, sondern überschreibt auch den Bootsektor - Ähnliche Themen

Anfänger-Leitfaden für digitalen Datenschutz: Digitalisierung und Datenschutz werden häufig als zwei völlig gegensätzliche Dinge angesehen. Digitale Aktivitäten, egal welcher Art, gehen meist...
Windows 10 meldet Win32/AgentTesla!ml - Wie kann man den Trojaner AgentTesla!ml entfernen?: Aktuell schein mal wieder ein Trojaner verstärkt aufzutreten, den es schon recht lange gibt, und zwar den AgentTesla!ml Trojaner. Seit 2014 dürfte...
Bad Rabbit treibt als neue Ransomware ihr Unwesen: Im Jahr 2017 hat es so viele Ransomware-Fälle gegeben wie nie zuvor. Nach Musterbeispielen "Wannacry", "NotPetya" oder auch "RedBoot" welche...
Darum solltet ihr anstatt des Administrator-Accounts das Standard Windows-Konto nutzen: Ein Windows-Konto ist für die meisten Computernutzer mittlerweile essenziell. Viele denken, dass es besser ist, sich als Administrator anzumelden...
Outlook 2013 - unverschlüsselte E-Mails verschlüsselt?: Hallo, einem Bekannten von mir habe ich vor ein paar Tagen ein S/MIME Zertifikat zur Verschlüsselung/Signierung in sein Outlook 2013 eingefügt...
Oben