Netkom IT Services GmbH

Poststrasse 1, 5707 Seengen

Phone: +41 62 777 61 61

Web: www.netkom.ch

Urheberrechte

© Netkom IT Services GmbH, CH-5707-Seengen, Schweiz. Alle Rechte vorbehalten. Texte, Bilder, Grafiken, Sounds, Animationen oder Videos sowie deren Anordnung auf diesen Internetseiten unterliegen weltweit dem Schutz des Urheberrechts und anderen Schutzgesetzen. Unerlaubte Verwendung, Reproduktion oder Weitergabe einzelner Inhalte oder kompletter Seiten können sowohl straf- als auch zivilrechtlich verfolgt werden. Netkom IT Services GmbH weist darauf hin, dass auf diesen Internetseiten enthaltene Bilder teilweise dem Urheberrecht Dritter unterliegen. Alle Adressen, die Netkom IT Services GmbH auf seinen Internetseiten veröffentlicht, dienen ausschliesslich Informationszwecken. Eine kommerzielle Verwendung durch Dritte ist nicht gestattet.

Kennzeichenrechte

Auf die uneingeschränkt bestehenden Kennzeichenrechte von Netkom IT Services GmbH und Dritten wird ausdrücklich hingewiesen.

Die Erpresserbotschaft (Bild: Bleeping Computer)

Ransomware: Redboot stoppt Windows-Start und kann nicht entschlüsseln

Die Redboot-Ransomware überschreibt den MBR, die Partitionstabelle – und hat offenbar keine Möglichkeit, die verschlüsselten Dateien jemals wiederherzustellen. Selbst, wenn die Opfer zahlen würden.

Gegen eine neue Ransomware mit dem Namen Redboot gibt es neben Backups wohl keine Abhilfe. Nach Angaben von Bleeping Computer überschreibt das Programm den Master Boot Record der Festplatte und sperrt Nutzer aus ihrem Windows-System aus.

Die Ransomware soll derzeit über infizierte Mailanhänge verteilt werden und entpackt fünf Dateien auf die Festplatte der Nutzer. Die Dateien boot.asm und boot.bin werden durch ein Skript kompiliert und dann genutzt, um den bisherigen Master-Boot-Record der Festplatte zu überschreiben. Erst danach werden die Dateien auf der Festplatte verschlüsselt und mit der neuen Dateiendung .locked versehen.

Windows startet nicht mehr

Nach dem Verschlüsselungsvorgang wird der Rechner automatisch heruntergefahren, beim erneuten Hochfahren startet dann nicht Windows, sondern die Nutzer werden aufgefordert, eine E-Mail an redboot@memeware.net zu senden, um Instruktionen zum Bezahlen der Erpresserbotschaft zu bekommen. Es wird auch eine Key-ID angezeigt, die übermittelt werden soll. Bislang ist nicht geklärt, ob es sich wirklich um eine eindeutig zuzuordnende ID handelt.

Ebenfalls sieht die Ransomware keine Möglichkeit vor, einen Entschlüsselungskey einzugeben. Einzige Möglichkeit, die eigenen Daten wiederzubekommen, wäre daher ein selbst bootendes Tool, das die Angreifer nach der Zahlung der bislang ebenfalls unbekannten Erpressersumme zusenden würden. Bleeping Computer schreibt außerdem, dass die Malware auch die Partitionstabelle überschreibt und es bislang keine Hinweise darauf gibt, dass es ein funktionierendes Backup der Informationen gibt.

(Quelle: golem.de)

Insgesamt kann also nur davor gewarnt werden, Zahlungen an die Erpresser zu leisten.

Nehmen Sie Kontakt mit uns auf.


2017-09-27T12:07:54+00:00