RedBoot im MBR

Erpressertrojaner nistet sich tief im System ein

(Bild: dpa/Oliver Berg (Symbolbild))

IT-Sicherheitsforscher von Bleepingcomputer haben eine neue Ransomware, also einen Daten verschlüsselnden Erpresservirus entdeckt, der sich extrem tief im System einnistet. RedBoot verändert die Partitionstabelle und verschlüsselt den für den Systemstart unerlässlichen Master Boot Record (MBR). Eine Möglichkeit, die Daten wiederherzustellen, gibt es offenbar nicht.

Normalerweise gehen Erpresserviren anders vor, fordern von ihren Opfern eine Art Lösegeld in der Kryptowährung Bitcoin. Bei RedBoot fällt diese Forderung laut einem Bericht von "Heise Security" weg. Wird man Opfer der Malware, sind die verschlüsselten Daten also verloren.

Das spreche dafür, dass man es entweder mit einer schlecht programmierten Malware zu tun habe oder dass es den Hintermännern gar nicht ums Geldverdienen, sondern um die Zerstörung von Daten geht, heißt es in dem Bericht.

Verschlüsselungs-Tool kommt mit "Bodyguard"
Die Infektion des PCs läuft so ab: Einmal im System, überschreibt RedBoot zunächst den Master Boot Record mit seinem eigenen Code. Anschließend werden zwei Programme gestartet, von denen eines für die Verschlüsselung der Daten zuständig ist, während das andere es vor unerwünschten Zugriffen - etwa durch Antivirensoftware oder den Task Manager - schützt.

Ist die Verschlüsselung abgeschlossen, startet das System neu. Statt Windows wird nun allerdings nur mehr der Begrüßungsbildschirm von RedBoot angezeigt, auf dem der User darüber informiert wird, wie er mit den Hintermännern in Kontakt treten kann. Statt einer Lösegeldforderung gibt es eine Benutzeridentifikation, mit der sich der User bei den RedBoot-Machern ausweisen muss - möglicherweise, um dann ein individuelles Lösegeld auszuhandeln.

(Bild: BleepingComputer)

Verbreitungsweg bisher unklar
Wie sich RedBoot verbreitet, geht aus der Analyse durch BleepingComputer nicht hervor. Wenn sich die Infektion auf ähnlichen Wegen wie andere Vertreter der Kategorie Ransomware verbreitet, dürfte die Malware aber vor allem als E-Mail-Anhang kursieren.

Um sich vor RedBoot zu schützen, sollten Sie erhöhte Vorsicht beim Umgang mit E-Mails an den Tag legen und fragwürdige Anhänge nicht öffnen. Damit Ihre Daten im Fall einer Infektion nicht verloren gehen, sollten Sie diese zudem regelmäßig auf nicht permanent mit dem System verbundene Datenträger, etwa eine externe Festplatte, sichern.