Comp4U Ladeanimation

Neuer Krypto-Trojaner RedBoot schlägt zu

Keine Entwarnung in Sachen Verschlüsselung - diesmal offensichtlich wieder mal ohne Entschlüsselungsmöglichkeit. Ganz aktuell häufen sich die Infektionen mit einem brandneuen und hochgefährlichen Krypto-TRojaner namens RedBoot.

Wie der Trojaner seinen Weg auf die infizierte Maschine findet, ist bislang nicht klar - möglich ist aber, dass er durch das Anklicken eines Links in einer Phishing-Mail oder den Besuch einer Website auf den Rechner geladen wird. Befallen werden aktuell ausschließlich Windows PCs: Sobald der Trojaner ausgeführt wird, entpackt er drei Dateien namens Assembler.exe, boot.asm und boot.bin. Damit überschreibt er den Master Boot Record (MBR) mit eigenem Code und modifiziert die Partitionstabelle, so dass kein Systemstart mehr möglich ist. 

Anschließend werden zwei weitere Dateien ausgeführt, main.exe und protect.exe: Die Namen sind fast selbsterklärend, der eine Prozess beginnt mit dem Verschlüsseln von Dateien (Programme, Dlls und Nutzdateien), die er mit der Endung .locked versieht. Sobald die Verschlüsselung abgeschlossen ist, wird der Rechner neu gestartet, bootet dann aber nicht das Windows System sondern zeigt einen Hinweis an. Der Nutzer wird über die Verschlüsselung informiert und soll, das ist neu, mit dem Erpresser über Email Kontakt aufnehmen.

Die IT-Experten und Schadsoftware-Spezialisten sind sich einig: Die Chance auf Entschlüsselung sind eher gering, denn abgesehen davon, dass diese Art der Kontaktaufnahme nicht vielversprechend ist, konnte bislang keine Möglichkeit identifiziert werden, wie einen Entsperrcode an das Schafprogramm übermittelt werden soll. Noch viel gravierender ist die Tatsache, dass offensichtlich keine Kopie des MBR gesichert wurde, bevor die Daten gelöscht wurden. Das lässt darauf schliefen, dass es sich entweder um eine sehr unsaubere Entwicklung handelt oder schlichtweg keine Entschlüsselung geplant ist. Diese Art von Trojanern nennt man Wiper - sie sind destruktiv, das Ziel ist Schaden und nicht Profit. 

Möglicherweise wird der Nutzer in die Irre geführt, wenn er eine Mail an die vermeintliche Mailadresse sendet: Das wäre der einfachste Weg für die Entwickler, sich einen Überblick über die Verbreitung ihrer Software zu verschaffen.

--- 

Die Comp4U GmbH warnt erneut vor dem sorglosen Umgang mit unbekannten Mails oder zweifelhaften Websites: Gerade die aktuelle Flut von Speer-Phishing Mails läßt Anwender zu schnell arglos Mails und deren Anhänge öffnen, da sie vertrauenswürdig aussehen. Informieren Sie sich und warnen Sie Ihre Kollegen.

Lesen Sie hier unsere ausführliche Info und Hilfe zu Phishing Mails:
Was ist Spear Phishing und wie schützen Sie sich dagegen?

Wir waren "Live dabei" und haben einen Trojaner bei der Ausbreitung verfolgt:
Live dabei: Angriff eines unbekannten Trojaners

Wir sind Ihr IT-Dienstleister für das gesamte Rhein-Main-Gebiet: Ob Frankfurt, Langen, Darmstadt, Hanau oder Wiesbaden, wir sind für Sie immer vor Ort. Rufen Sie uns an uns sprechen Sie direkt mit unseren Experten über die Optimierung Ihres IT-Services.