Herzlich willkommen bei PC-Sicherheit.net Du betrachtest derzeit das Forum als Gast und hast damit nur eingeschränkten Zugriff. Um alle Bereiche zusehen und alle Forenfunktionen nutzen zu können ist eine kostenlose Registrierung erforderlich.

Wir würden uns freuen Dich bald bei uns als Mitglied begrüßen zu dürfen.
Viele Grüße vom PC-Sicherheit.net Team

Trojaner Red kann MBR ,Dateien total zerstören

Hier ist der Platz für alle wichtigen Sicherheitsmeldungen.
Benutzeravatar
Astor27
Moderator
Moderator
Beiträge: 10302
Registriert: So 5. Feb 2012, 15:21
Betriebssystem: Win7/Win10-64bit
Browser: Firefox57.12/64bit
Firewall: KIS17/KIS18
Virenscanner: KIS17/KIS18
Hat sich bedankt: 621 Mal
Danksagung erhalten: 464 Mal

Trojaner Red kann MBR ,Dateien total zerstören

#1

Beitrag von Astor27 » Mo 25. Sep 2017, 16:39

Der Krypto-Trojaner RedBoot kann Dateien und die MBR infizieren .
Quelle: https://www.heise.de/security/meldung/K ... 40923.html
Wieder neue Ransomware im Umlauf mit Zerstörung des Systems
Ich empfehle den download und update immer von der Original Seite der Software.

gizmostrolch
Fortgeschrittener
Fortgeschrittener
Beiträge: 202
Registriert: Fr 30. Jun 2017, 17:59
Betriebssystem: Windows 7
Browser: Firefox
Virenscanner: Avast Free Antivirus
Hat sich bedankt: 1 Mal
Danksagung erhalten: 70 Mal

Re: Trojaner Red kann MBR ,Dateien total zerstören

#2

Beitrag von gizmostrolch » Mo 25. Sep 2017, 19:21

Deshalb mein Credo in Foren für PC Sicherheit: Leute macht bitte regelmässig auch Systembackups auf eine externe Festplatte und achtet dabei darauf das auch der MBR mitgesichert wird.

Benutzeravatar
Jekyll Hyde
Forenfreund
Forenfreund
Beiträge: 1327
Registriert: Di 24. Mai 2016, 10:45
Betriebssystem: 10
Hat sich bedankt: 178 Mal
Danksagung erhalten: 419 Mal

Re: Trojaner Red kann MBR ,Dateien total zerstören

#3

Beitrag von Jekyll Hyde » Mo 25. Sep 2017, 23:38

Nachdem RedBoot ausgeführt wurde, überschreibt es zunächst den MBR mit mitgeliefertem und kompiliertem Assemblercode. Daraufhin werden die zwei ebenfalls mitgelieferten Programme main.exe und protect.exe gestartet. Das erste Programm durchsucht den Computer und verschlüsselt ausführbare Programme, DLLs sowie Dokumente und Bilder. Dabei werden sie mit der Endung .locked versehen. Gleichzeitig sorgt protect.exe dafür, dass main.exe möglichst störungsfrei arbeiten kann und blockiert Programme, welche die Infektion beeinträchtigen oder verhindern könnten. Dazu gehört unter anderem der Task-Manager. Ist die Verschlüsselung abgeschlossen, startet die Ransomware den PC neu, wobei statt Windows nun das oben genannte Erpresserschreiben angezeigt wird.
Kein Weg zurück

Die Analysten von Bleepingcomputer haben keine Möglichkeit gefunden, einen Entschlüsselungscode einzugeben, daher sind von RedBoot verschlüsselte Daten vermutlich nicht wiederherstellbar. Entweder RedBoot ist eine sehr schlecht geschriebene und verbuggte Ransomware oder sie war nie dazu ausgelegt, die Daten wieder entschlüsseln zu können – damit wäre sie als Wiper einzuordnen. Die in AutoIT geschriebene Ransomware ahmt mit dem Ersetzen des MBR die in Deutschland verbreitete Ransomware Petya nach, welche dieses Verfahren ebenfalls eingesetzt hat.
https://m.heise.de/security/meldung/Kry ... 40923.html
Wie will man den Computer wiederherstellen, wenn der gesamte Computer verschlüsselt ist ?
ESET INTERNET SECURITY

gizmostrolch
Fortgeschrittener
Fortgeschrittener
Beiträge: 202
Registriert: Fr 30. Jun 2017, 17:59
Betriebssystem: Windows 7
Browser: Firefox
Virenscanner: Avast Free Antivirus
Hat sich bedankt: 1 Mal
Danksagung erhalten: 70 Mal

Re: Trojaner Red kann MBR ,Dateien total zerstören

#4

Beitrag von gizmostrolch » Di 26. Sep 2017, 00:42

Wie will man den Computer wiederherstellen, wenn der gesamte Computer verschlüsselt ist ?
Warum nicht? nehmen wir mal dieser Trojaner würde meinen PC verschlüsseln, was würde ich also machen? Paragon Boot CD einlegen, USB Festplatte einschalten und das letzte Backup der Systempartition C einspielen. Und schon hab ich mein Windows wieder und alles was auf C installiert ist und die Verschlüsselung des MBR und möglicher Dateien wäre Geschichte. Hätte der Trojaner dann auch noch Dateien auf den Partitionen D und E verschlüsselt, würde ich auch hier Backups dieser Partitionen einspielen. Und beim einspielen des Backups der Sytempartition C wird der mitgesicherte MBR(siehe Bild)neu mit aufgespielt und somit dessen Verschlüsselung durch den Trojaner aufgehoben.
Bild

Benutzeravatar
Dr.Virus
Foren Experte
Foren Experte
Beiträge: 1522
Registriert: Mo 30. Dez 2013, 23:41
Betriebssystem: Windows 10 64-Bit
Browser: Firefox / Tor
Firewall: Windows FW
Virenscanner: SBoxie - EAM
Wohnort: Germany / USA
Hat sich bedankt: 56 Mal
Danksagung erhalten: 105 Mal

Re: Trojaner Red kann MBR ,Dateien total zerstören

#5

Beitrag von Dr.Virus » Di 26. Sep 2017, 10:01

Für solche Fälle liegt bei mir immer ein Vollbackup auf Lager. 😊
Erst denken, dann handeln. Bild

Gruß Dr.Virus

Benutzeravatar
Jekyll Hyde
Forenfreund
Forenfreund
Beiträge: 1327
Registriert: Di 24. Mai 2016, 10:45
Betriebssystem: 10
Hat sich bedankt: 178 Mal
Danksagung erhalten: 419 Mal

Re: Trojaner Red kann MBR ,Dateien total zerstören

#6

Beitrag von Jekyll Hyde » Di 26. Sep 2017, 10:11

Im Bericht steht, dass nach Neustart des PC anstatt Windows die Erpressermaske startet. Somit gibt es keinen Weg für Windows.
Recovery Programme starten bekanntlich nur mit Windows.
ESET INTERNET SECURITY

Benutzeravatar
Dr.Virus
Foren Experte
Foren Experte
Beiträge: 1522
Registriert: Mo 30. Dez 2013, 23:41
Betriebssystem: Windows 10 64-Bit
Browser: Firefox / Tor
Firewall: Windows FW
Virenscanner: SBoxie - EAM
Wohnort: Germany / USA
Hat sich bedankt: 56 Mal
Danksagung erhalten: 105 Mal

Re: Trojaner Red kann MBR ,Dateien total zerstören

#7

Beitrag von Dr.Virus » Di 26. Sep 2017, 10:38

Sollte mit der bootfähigen DVD des Backupprogramms trotzdem funktionieren, funktioniert auch wenn Windows überhaupt nicht mehr startet.
Erst denken, dann handeln. Bild

Gruß Dr.Virus

gizmostrolch
Fortgeschrittener
Fortgeschrittener
Beiträge: 202
Registriert: Fr 30. Jun 2017, 17:59
Betriebssystem: Windows 7
Browser: Firefox
Virenscanner: Avast Free Antivirus
Hat sich bedankt: 1 Mal
Danksagung erhalten: 70 Mal

Re: Trojaner Red kann MBR ,Dateien total zerstören

#8

Beitrag von gizmostrolch » Di 26. Sep 2017, 10:42

Jekyll Hyde hat geschrieben:
Di 26. Sep 2017, 10:11
Im Bericht steht, dass nach Neustart des PC anstatt Windows die Erpressermaske startet. Somit gibt es keinen Weg für Windows.
Recovery Programme starten bekanntlich nur mit Windows.
Da täuscht du dich aber, denn wenn man von einer Boot CD oder Boot USB Stick eines Backup Programms bootet, bleibt Windows aussen vor, wird nicht geladen bzw angesteuert und mittels des Boot Mediums kann man seine Backups ansteuern auf der eingeschalteten USB Festplatte, eines auswählen und dieses einspielen.
Für solche Fälle liegt bei mir immer ein Vollbackup auf Lager. 😊
Vorbildlich :good: ich bevorzuge wegen meiner Spielepartition D einzelne Backups der Partitionen C, D und E.
Sollte mit der bootfähigen DVD des Backupprogramms trotzdem funktionieren, funktioniert auch wenn Windows überhaupt nicht mehr startet.
Das tut es auch, dafür sind ja die Backup Programme und deren Boot Medien ja da.

Benutzeravatar
Dr.Virus
Foren Experte
Foren Experte
Beiträge: 1522
Registriert: Mo 30. Dez 2013, 23:41
Betriebssystem: Windows 10 64-Bit
Browser: Firefox / Tor
Firewall: Windows FW
Virenscanner: SBoxie - EAM
Wohnort: Germany / USA
Hat sich bedankt: 56 Mal
Danksagung erhalten: 105 Mal

Re: Trojaner Red kann MBR ,Dateien total zerstören

#9

Beitrag von Dr.Virus » Di 26. Sep 2017, 11:16

So ist es, sonst würde das ganze keinen Sinn machen. :good:
Erst denken, dann handeln. Bild

Gruß Dr.Virus

gizmostrolch
Fortgeschrittener
Fortgeschrittener
Beiträge: 202
Registriert: Fr 30. Jun 2017, 17:59
Betriebssystem: Windows 7
Browser: Firefox
Virenscanner: Avast Free Antivirus
Hat sich bedankt: 1 Mal
Danksagung erhalten: 70 Mal

Re: Trojaner Red kann MBR ,Dateien total zerstören

#10

Beitrag von gizmostrolch » Di 26. Sep 2017, 11:25

Ich weiß Dr.Virus und ich hoffe, Jeykill Hyde was jetzt was mir meinen und glaubt es uns.

Antworten