Das Sicherheitsforum für den Rundumschutz
https://pc-sicherheit.net/
Wieder neue Ransomware im Umlauf mit Zerstörung des SystemsDer Krypto-Trojaner RedBoot kann Dateien und die MBR infizieren .
Quelle: https://www.heise.de/security/meldung/K ... 40923.html
Wie will man den Computer wiederherstellen, wenn der gesamte Computer verschlüsselt ist ?Nachdem RedBoot ausgeführt wurde, überschreibt es zunächst den MBR mit mitgeliefertem und kompiliertem Assemblercode. Daraufhin werden die zwei ebenfalls mitgelieferten Programme main.exe und protect.exe gestartet. Das erste Programm durchsucht den Computer und verschlüsselt ausführbare Programme, DLLs sowie Dokumente und Bilder. Dabei werden sie mit der Endung .locked versehen. Gleichzeitig sorgt protect.exe dafür, dass main.exe möglichst störungsfrei arbeiten kann und blockiert Programme, welche die Infektion beeinträchtigen oder verhindern könnten. Dazu gehört unter anderem der Task-Manager. Ist die Verschlüsselung abgeschlossen, startet die Ransomware den PC neu, wobei statt Windows nun das oben genannte Erpresserschreiben angezeigt wird.
Kein Weg zurück
Die Analysten von Bleepingcomputer haben keine Möglichkeit gefunden, einen Entschlüsselungscode einzugeben, daher sind von RedBoot verschlüsselte Daten vermutlich nicht wiederherstellbar. Entweder RedBoot ist eine sehr schlecht geschriebene und verbuggte Ransomware oder sie war nie dazu ausgelegt, die Daten wieder entschlüsseln zu können – damit wäre sie als Wiper einzuordnen. Die in AutoIT geschriebene Ransomware ahmt mit dem Ersetzen des MBR die in Deutschland verbreitete Ransomware Petya nach, welche dieses Verfahren ebenfalls eingesetzt hat.
https://m.heise.de/security/meldung/Kry ... 40923.html
Warum nicht? nehmen wir mal dieser Trojaner würde meinen PC verschlüsseln, was würde ich also machen? Paragon Boot CD einlegen, USB Festplatte einschalten und das letzte Backup der Systempartition C einspielen. Und schon hab ich mein Windows wieder und alles was auf C installiert ist und die Verschlüsselung des MBR und möglicher Dateien wäre Geschichte. Hätte der Trojaner dann auch noch Dateien auf den Partitionen D und E verschlüsselt, würde ich auch hier Backups dieser Partitionen einspielen. Und beim einspielen des Backups der Sytempartition C wird der mitgesicherte MBR(siehe Bild)neu mit aufgespielt und somit dessen Verschlüsselung durch den Trojaner aufgehoben.Wie will man den Computer wiederherstellen, wenn der gesamte Computer verschlüsselt ist ?
Da täuscht du dich aber, denn wenn man von einer Boot CD oder Boot USB Stick eines Backup Programms bootet, bleibt Windows aussen vor, wird nicht geladen bzw angesteuert und mittels des Boot Mediums kann man seine Backups ansteuern auf der eingeschalteten USB Festplatte, eines auswählen und dieses einspielen.Gast hat geschrieben: ↑Di 26. Sep 2017, 10:11 Im Bericht steht, dass nach Neustart des PC anstatt Windows die Erpressermaske startet. Somit gibt es keinen Weg für Windows.
Recovery Programme starten bekanntlich nur mit Windows.
VorbildlichFür solche Fälle liegt bei mir immer ein Vollbackup auf Lager.
ich bevorzuge wegen meiner Spielepartition D einzelne Backups der Partitionen C, D und E.
Das tut es auch, dafür sind ja die Backup Programme und deren Boot Medien ja da.Sollte mit der bootfähigen DVD des Backupprogramms trotzdem funktionieren, funktioniert auch wenn Windows überhaupt nicht mehr startet.
![[ externes Bild ]](http://fs5.directupload.net/images/170926/temp/bvesvs76.jpg){kind=link}