Ransomware kapert den MBR

Originalartikel von Cris Pantanilla, Threat Response Engineer

Die Sicherheitsforscher von Trend Micro sind auf eine Ransomware gestoßen, die sich von früheren Varianten unterscheidet. Typische Ransomware verschlüsselt Dateien oder schränkt den Zugriff der Opfer auf das infizierte System ein. Die aktuelle Variante (TROJ_RANSOM.AQB) jedoch infiziert den Master Boot Record (MBR) und hindert das Betriebssystem am Hochfahren. Die Analyse zeigt, dass der Schädling den ursprünglichen MBR kopiert und mit dem eigenen bösartigen Code (BOOT_RANSOM.AQB) überschreibt. Nach Ausführung dieser Routine startet er das System erneut, um die Infektion in Gang zu setzen. Dabei gibt die Malware folgende Nachricht aus:

Der Nutzer wird darüber informiert, dass sein PC blockiert wurde und er 920 Hryvnia (ukrainische Währung) zu zahlen hat. Nach der Zahlung erhält er einen Code, mit dem er das System entsperren kann. Dieser Code befindet sich im Schädling selbst. Sobald er ausgeführt wurde, wird die MBR-Routine entfernt.

Diese neue Variante zeigt leider, dass noch kein Ende dieser Art von Angriffen in Sicht ist. Letzten Februar hatten Angreifer die Website des französischen Bekleidungsshops Ladurée kompromittiert, sodass alle Besucher der Site ebenfalls mit dem Trojaner TROJ_RANSOM.BOV infiziert wurden. Die damals eingesetzte Variante gab sich als nationale französische Gendarmerie aus und forderte in deren Namen eine Zahlung. Ähnliche Angriffe gab es auch im Namen der Polizei in Italien, Deutschland, Belgien und Spanien.

Trend Micros Smart Protection Network schützt die Anwender vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur die Malware erkennt und entfernt. Auch können die Nutzer den ursprünglichen MBR über die Recovery Console wieder herstellen. Mehr Informationen dazu finden Interessierte hier.

Außerdem sollten Anwender ihre Systeme immer auf aktuellem Stand halten und keine verdächtigen Links anklicken.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*