Krypto-Trojaner RedBoot infiziert MBR und zerstört Dateien

Die von Bleepingcomputer analysierte Ransomware RedBoot verschlüsselt den MBR (Master Boot Record) des infizierten PCs und modifiziert die Partitionstabelle. Dies verhindert effektiv, dass Windows starten kann. Stattdessen wird eine Meldung des Erpressers angezeigt: Der Computer und alle seine Dateien seien verschlüsselt, der Nutzer solle sich per E-Mail mit den Entwicklern in Verbindung setzen, um Anweisungen für die Entschlüsselung zu erhalten.

Vorgehen

Nachdem RedBoot ausgeführt wurde, überschreibt es zunächst den MBR mit mitgeliefertem und kompiliertem Assemblercode. Daraufhin werden die zwei ebenfalls mitgelieferten Programme main.exe und protect.exe gestartet. Das erste Programm durchsucht den Computer und verschlüsselt ausführbare Programme, DLLs sowie Dokumente und Bilder. Dabei werden sie mit der Endung .locked versehen. Gleichzeitig sorgt protect.exe dafür, dass main.exe möglichst störungsfrei arbeiten kann und blockiert Programme, welche die Infektion beeinträchtigen oder verhindern könnten. Dazu gehört unter anderem der Task-Manager. Ist die Verschlüsselung abgeschlossen, startet die Ransomware den PC neu, wobei statt Windows nun das oben genannte Erpresserschreiben angezeigt wird.

Kein Weg zurück

Die Analysten von Bleepingcomputer haben keine Möglichkeit gefunden, einen Entschlüsselungscode einzugeben, daher sind von RedBoot verschlüsselte Daten vermutlich nicht wiederherstellbar. Entweder RedBoot ist eine sehr schlecht geschriebene und verbuggte Ransomware oder sie war nie dazu ausgelegt, die Daten wieder entschlüsseln zu können – damit wäre sie als Wiper einzuordnen. Die in AutoIT geschriebene Ransomware ahmt mit dem Ersetzen des MBR die in Deutschland verbreitete Ransomware Petya nach, welche dieses Verfahren ebenfalls eingesetzt hat. RedBoot gelangt über in der Quelle nicht genannte Wege auf den PC, üblicherweise verbreitet sich Ransomware über infizierte E-Mail-Anhänge. (rei)