Wieder neue Ransomware im Umlauf mit Zerstörung des SystemsDer Krypto-Trojaner RedBoot kann Dateien und die MBR infizieren .
Quelle: https://www.heise.de/security/meldung/K ... 40923.html
Herzlich willkommen bei PC-Sicherheit.net
Du betrachtest derzeit das Forum als Gast und hast damit nur eingeschränkten Zugriff. Um alle Bereiche zusehen und alle Forenfunktionen nutzen zu können ist eine kostenlose Registrierung erforderlich.
Wir würden uns freuen Dich bald bei uns als Mitglied begrüßen zu dürfen.
Wir würden uns freuen Dich bald bei uns als Mitglied begrüßen zu dürfen.
Viele Grüße vom PC-Sicherheit.net Team
Trojaner Red kann MBR ,Dateien total zerstören
- Astor27
- Moderator
- Beiträge: 25421
- Registriert: So 5. Feb 2012, 15:21
- Betriebssystem: Win10-64bit,Win11
- Browser: Firefox125.0/Brave
- Firewall: KIS21
- Virenscanner: KIS21
- Hat sich bedankt: 9478 Mal
- Danksagung erhalten: 8642 Mal
Trojaner Red kann MBR ,Dateien total zerstören
- Folgende Benutzer bedankten sich beim Autor Astor27 für den Beitrag:
- darktwillight
Ich empfehle den download und update immer von der Original Seite der Software.
-
- Foren Experte
- Beiträge: 2378
- Registriert: Fr 30. Jun 2017, 17:59
- Betriebssystem: Windows 10 Pro 22H2
- Browser: Firefox
- Firewall: GlassWire Free
- Virenscanner: Kaspersky Free
- Hat sich bedankt: 31 Mal
- Danksagung erhalten: 935 Mal
Re: Trojaner Red kann MBR ,Dateien total zerstören
Deshalb mein Credo in Foren für PC Sicherheit: Leute macht bitte regelmässig auch Systembackups auf eine externe Festplatte und achtet dabei darauf das auch der MBR mitgesichert wird.
Re: Trojaner Red kann MBR ,Dateien total zerstören
Wie will man den Computer wiederherstellen, wenn der gesamte Computer verschlüsselt ist ?Nachdem RedBoot ausgeführt wurde, überschreibt es zunächst den MBR mit mitgeliefertem und kompiliertem Assemblercode. Daraufhin werden die zwei ebenfalls mitgelieferten Programme main.exe und protect.exe gestartet. Das erste Programm durchsucht den Computer und verschlüsselt ausführbare Programme, DLLs sowie Dokumente und Bilder. Dabei werden sie mit der Endung .locked versehen. Gleichzeitig sorgt protect.exe dafür, dass main.exe möglichst störungsfrei arbeiten kann und blockiert Programme, welche die Infektion beeinträchtigen oder verhindern könnten. Dazu gehört unter anderem der Task-Manager. Ist die Verschlüsselung abgeschlossen, startet die Ransomware den PC neu, wobei statt Windows nun das oben genannte Erpresserschreiben angezeigt wird.
Kein Weg zurück
Die Analysten von Bleepingcomputer haben keine Möglichkeit gefunden, einen Entschlüsselungscode einzugeben, daher sind von RedBoot verschlüsselte Daten vermutlich nicht wiederherstellbar. Entweder RedBoot ist eine sehr schlecht geschriebene und verbuggte Ransomware oder sie war nie dazu ausgelegt, die Daten wieder entschlüsseln zu können – damit wäre sie als Wiper einzuordnen. Die in AutoIT geschriebene Ransomware ahmt mit dem Ersetzen des MBR die in Deutschland verbreitete Ransomware Petya nach, welche dieses Verfahren ebenfalls eingesetzt hat.
https://m.heise.de/security/meldung/Kry ... 40923.html
- Folgende Benutzer bedankten sich beim Autor Gast für den Beitrag:
- darktwillight
-
- Foren Experte
- Beiträge: 2378
- Registriert: Fr 30. Jun 2017, 17:59
- Betriebssystem: Windows 10 Pro 22H2
- Browser: Firefox
- Firewall: GlassWire Free
- Virenscanner: Kaspersky Free
- Hat sich bedankt: 31 Mal
- Danksagung erhalten: 935 Mal
Re: Trojaner Red kann MBR ,Dateien total zerstören
Warum nicht? nehmen wir mal dieser Trojaner würde meinen PC verschlüsseln, was würde ich also machen? Paragon Boot CD einlegen, USB Festplatte einschalten und das letzte Backup der Systempartition C einspielen. Und schon hab ich mein Windows wieder und alles was auf C installiert ist und die Verschlüsselung des MBR und möglicher Dateien wäre Geschichte. Hätte der Trojaner dann auch noch Dateien auf den Partitionen D und E verschlüsselt, würde ich auch hier Backups dieser Partitionen einspielen. Und beim einspielen des Backups der Sytempartition C wird der mitgesicherte MBR(siehe Bild)neu mit aufgespielt und somit dessen Verschlüsselung durch den Trojaner aufgehoben.Wie will man den Computer wiederherstellen, wenn der gesamte Computer verschlüsselt ist ?
[ externes Bild ]
- Folgende Benutzer bedankten sich beim Autor gizmostrolch für den Beitrag:
- darktwillight
- Dr.Virus
- Foren Experte
- Beiträge: 2315
- Registriert: Mo 30. Dez 2013, 23:41
- Betriebssystem: Windows 11 64-Bit
- Wohnort: Germany / USA
- Hat sich bedankt: 889 Mal
- Danksagung erhalten: 992 Mal
Re: Trojaner Red kann MBR ,Dateien total zerstören
Für solche Fälle liegt bei mir immer ein Vollbackup auf Lager.
- Folgende Benutzer bedankten sich beim Autor Dr.Virus für den Beitrag:
- darktwillight
Erst denken, dann handeln.
Gruß Dr.Virus
Gruß Dr.Virus
Re: Trojaner Red kann MBR ,Dateien total zerstören
Im Bericht steht, dass nach Neustart des PC anstatt Windows die Erpressermaske startet. Somit gibt es keinen Weg für Windows.
Recovery Programme starten bekanntlich nur mit Windows.
Recovery Programme starten bekanntlich nur mit Windows.
- Dr.Virus
- Foren Experte
- Beiträge: 2315
- Registriert: Mo 30. Dez 2013, 23:41
- Betriebssystem: Windows 11 64-Bit
- Wohnort: Germany / USA
- Hat sich bedankt: 889 Mal
- Danksagung erhalten: 992 Mal
Re: Trojaner Red kann MBR ,Dateien total zerstören
Sollte mit der bootfähigen DVD des Backupprogramms trotzdem funktionieren, funktioniert auch wenn Windows überhaupt nicht mehr startet.
- Folgende Benutzer bedankten sich beim Autor Dr.Virus für den Beitrag:
- darktwillight
Erst denken, dann handeln.
Gruß Dr.Virus
Gruß Dr.Virus
-
- Foren Experte
- Beiträge: 2378
- Registriert: Fr 30. Jun 2017, 17:59
- Betriebssystem: Windows 10 Pro 22H2
- Browser: Firefox
- Firewall: GlassWire Free
- Virenscanner: Kaspersky Free
- Hat sich bedankt: 31 Mal
- Danksagung erhalten: 935 Mal
Re: Trojaner Red kann MBR ,Dateien total zerstören
Da täuscht du dich aber, denn wenn man von einer Boot CD oder Boot USB Stick eines Backup Programms bootet, bleibt Windows aussen vor, wird nicht geladen bzw angesteuert und mittels des Boot Mediums kann man seine Backups ansteuern auf der eingeschalteten USB Festplatte, eines auswählen und dieses einspielen.Gast hat geschrieben: ↑Di 26. Sep 2017, 10:11 Im Bericht steht, dass nach Neustart des PC anstatt Windows die Erpressermaske startet. Somit gibt es keinen Weg für Windows.
Recovery Programme starten bekanntlich nur mit Windows.
Vorbildlich ich bevorzuge wegen meiner Spielepartition D einzelne Backups der Partitionen C, D und E.Für solche Fälle liegt bei mir immer ein Vollbackup auf Lager.
Das tut es auch, dafür sind ja die Backup Programme und deren Boot Medien ja da.Sollte mit der bootfähigen DVD des Backupprogramms trotzdem funktionieren, funktioniert auch wenn Windows überhaupt nicht mehr startet.
- Folgende Benutzer bedankten sich beim Autor gizmostrolch für den Beitrag:
- darktwillight
- Dr.Virus
- Foren Experte
- Beiträge: 2315
- Registriert: Mo 30. Dez 2013, 23:41
- Betriebssystem: Windows 11 64-Bit
- Wohnort: Germany / USA
- Hat sich bedankt: 889 Mal
- Danksagung erhalten: 992 Mal
Re: Trojaner Red kann MBR ,Dateien total zerstören
So ist es, sonst würde das ganze keinen Sinn machen.
- Folgende Benutzer bedankten sich beim Autor Dr.Virus für den Beitrag:
- darktwillight
Erst denken, dann handeln.
Gruß Dr.Virus
Gruß Dr.Virus
-
- Foren Experte
- Beiträge: 2378
- Registriert: Fr 30. Jun 2017, 17:59
- Betriebssystem: Windows 10 Pro 22H2
- Browser: Firefox
- Firewall: GlassWire Free
- Virenscanner: Kaspersky Free
- Hat sich bedankt: 31 Mal
- Danksagung erhalten: 935 Mal
Re: Trojaner Red kann MBR ,Dateien total zerstören
Ich weiß Dr.Virus und ich hoffe, Jeykill Hyde was jetzt was mir meinen und glaubt es uns.