Krypto-Trojaner RedBoot infiziert MBR und zerstört Dateien

Eine neue Ransomware treibt ihr Unwesen im Master Boot Record von Windows-PCs. Darüber hinaus verschlüsselt sie auch Dateien – ohne jedoch einen Weg zur Entschüsselung zu bieten.

In Pocket speichern vorlesen Druckansicht 337 Kommentare lesen
Krypto-Trojaner RedBoot infiziert MBR und zerstört Dateien
Lesezeit: 2 Min.
Von
  • Caroline Berger

Die von Bleepingcomputer analysierte Ransomware RedBoot verschlĂĽsselt den MBR (Master Boot Record) des infizierten PCs und modifiziert die Partitionstabelle. Dies verhindert effektiv, dass Windows starten kann. Stattdessen wird eine Meldung des Erpressers angezeigt: Der Computer und alle seine Dateien seien verschlĂĽsselt, der Nutzer solle sich per E-Mail mit den Entwicklern in Verbindung setzen, um Anweisungen fĂĽr die EntschlĂĽsselung zu erhalten.

Nachdem RedBoot ausgeführt wurde, überschreibt es zunächst den MBR mit mitgeliefertem und kompiliertem Assemblercode. Daraufhin werden die zwei ebenfalls mitgelieferten Programme main.exe und protect.exe gestartet. Das erste Programm durchsucht den Computer und verschlüsselt ausführbare Programme, DLLs sowie Dokumente und Bilder. Dabei werden sie mit der Endung .locked versehen. Gleichzeitig sorgt protect.exe dafür, dass main.exe möglichst störungsfrei arbeiten kann und blockiert Programme, welche die Infektion beeinträchtigen oder verhindern könnten. Dazu gehört unter anderem der Task-Manager. Ist die Verschlüsselung abgeschlossen, startet die Ransomware den PC neu, wobei statt Windows nun das oben genannte Erpresserschreiben angezeigt wird.

Die Analysten von Bleepingcomputer haben keine Möglichkeit gefunden, einen Entschlüsselungscode einzugeben, daher sind von RedBoot verschlüsselte Daten vermutlich nicht wiederherstellbar. Entweder RedBoot ist eine sehr schlecht geschriebene und verbuggte Ransomware oder sie war nie dazu ausgelegt, die Daten wieder entschlüsseln zu können – damit wäre sie als Wiper einzuordnen. Die in AutoIT geschriebene Ransomware ahmt mit dem Ersetzen des MBR die in Deutschland verbreitete Ransomware Petya nach, welche dieses Verfahren ebenfalls eingesetzt hat. RedBoot gelangt über in der Quelle nicht genannte Wege auf den PC, üblicherweise verbreitet sich Ransomware über infizierte E-Mail-Anhänge. (rei)