• IT-Karriere:
  • Services:

Neuer Trick: Ransomware versteckt sich im Windows Safe Mode

Windows startet im abgesicherten Modus meist keine Antiviren- oder Endpoint-Protection-Software - diesen Umstand nutzt die Ransomware Snatch aus, um nicht entdeckt zu werden und die Dateien verschlüsseln zu können.

Artikel veröffentlicht am ,
Im abgesicherten Modus kann die Schadsoftware unerkannt schalten und walten.
Im abgesicherten Modus kann die Schadsoftware unerkannt schalten und walten. (Bild: Martin Wolf/Golem.de)

Mit einem findigen Trick umgeht die Schadsoftware Snatch die Erkennung durch Antiviren- oder Endpoint-Protection-Software: Sie richtet sich als Dienst ein und startet anschließend Windows im abgesicherten Modus neu. In diesem sind Antiviren- oder Endpoint-Protection-Software nicht aktiv und können die Schadsoftware weder erkennen noch bei der Verschlüsselung der Daten stören. Entdeckt wurde die Schadsoftware von der Sicherheitsfirma Sophos.

Stellenmarkt
  1. Stadtverwaltung Bretten, Bretten
  2. FLYERALARM Digital GmbH, Würzburg

Snatch sei allerdings nicht nur eine Ransomware, sondern sammle auch Informationen auf den betroffenen Systemen, erklärt Sophos. Unter dem Namen Superbackupman, richtet die Schadsoftware einen Dienst ein, die sie mit der Beschreibung "Dieser Dienst erstellt täglich Sicherungskopien" (Original: "This service make backup copy every day") als einen Backup-Dienst tarnt. Über einen Registry-Key legt die Schadsoftware fest, dass Superbackupman auch im abgesicherten Modus gestartet wird. Direkt danach startet sie den Rechner im abgesicherten Modus neu. Dort angekommen, löscht die Ransomware alle Schattenkopien der Laufwerke, um eine forensische Wiederherstellung der Daten nach einer Verschlüsselung zu verhindern. Dann beginnt sie mit dem Verschlüsseln der Daten.

Der Name Snatch geht zurück auf den Film "Snatch - Schweine und Diamanten" von Guy Ritchie aus dem Jahr 2000. Beispielsweise enthielt die Lösegeldforderung in früheren Versionen der Schadsoftware die E-Mail-Adresse imboristheblade@protonmail.com - benannt nach dem Snatch-Charakter Boris the Blade, einem ehemaligen russischen KGB-Agenten.

Laut Sophos greift das Snatch Team, wie sich die Autoren der Schadsoftware selbst nennen, in einem ersten Schritt automatisiert Firmennetzwerke an. Dies geschehe über Brute-Force-Angriffe, also das Durchprobieren von Passwörtern, auf exponierte Dienste. Als Beispiel nennt Sophos einen Azure-Server, auf welchem sich die Angreifer nach einem erfolgreichen Brute-Force-Angriff per RDP anmelden konnten. Anschließend sammeln die Angreifer Daten über das interne Netzwerk und greifen nach mehreren Tagen oder Wochen Rechner an und installierten dort die Schadsoftware Snatch.

Sophos habe die Schadsoftware bereits vor einem Jahr entdeckt und vermute, dass sie bereits seit Sommer 2018 aktiv ist - allerdings ohne die Funktion Windows im abgesicherten Modus neu zu starten, das soll erst erst kürzlich hinzugefügt worden sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 1439,90€ (Vergleichspreis: 1530,95€)
  2. (u. a. MSI Optix G24C für 155,00€, Asus VP278H für 125,00€, LG 27UD59-W für 209,00€ und HP...

chefin 11. Dez 2019 / Themenstart

Ja, der abgesicherte Modus ist kein reguläres Modus, der das Arbeiten ermöglicht. Er...

Sybok 10. Dez 2019 / Themenstart

Nein, warum sollte man? Ist ja nur eine Konfigurationsdatenbank, die natürlich auch die...

AllDayPiano 10. Dez 2019 / Themenstart

Auch ein sehr guter Tipp. Ok dann korrigiere ich: der von Microsoft vorgesehenen weg ist...

Tantalus 10. Dez 2019 / Themenstart

Zur Anmeldung schon, aber die Schadsoftware installiert sich ja als Dienst, der läuft...

Kommentieren


Folgen Sie uns
       


Halo (2001) - Golem retro_

2001 feierte der Master Chief im Klassiker Halo: Kampf um die Zukunft sein Debüt. Wir blicken zurück und merken, wie groß der Einfluss des Spiels wirklich ist.

Halo (2001) - Golem retro_ Video aufrufen
Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Datenleck Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz
  2. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10
  3. Application Inspector Microsoft legt Werkzeug zur Code-Analyse offen

Digitalisierung: Aber das Faxgerät muss bleiben!
Digitalisierung
Aber das Faxgerät muss bleiben!

"Auf digitale Prozesse umstellen" ist leicht gesagt, aber in vielen Firmen ein komplexes Unterfangen. Viele Mitarbeiter und Chefs lieben ihre analogen Arbeitsmethoden und fürchten Veränderungen. Andere wiederum digitalisieren ohne Sinn und Verstand und blasen ihre Prozesse unnötig auf.
Ein Erfahrungsbericht von Marvin Engel

  1. Arbeitswelt SAP-Chef kritisiert fehlende Digitalisierung und Angst
  2. Deutscher Städte- und Gemeindebund "Raus aus der analogen Komfortzone"
  3. Digitalisierungs-Tarifvertrag Regelungen für Erreichbarkeit, Homeoffice und KI kommen

30 Jahre Champions of Krynn: Rückkehr ins Reich der Drachen und Drakonier
30 Jahre Champions of Krynn
Rückkehr ins Reich der Drachen und Drakonier

Champions of Krynn ist das dritte AD&D-Rollenspiel von SSI, es zählt zu den Highlights der Gold-Box-Serie. Passend zum 30. Geburtstag hat sich unser Autor den Klassiker noch einmal angeschaut - und nicht nur mit Drachen, sondern auch mit dem alten Kopierschutz gekämpft.
Ein Erfahrungsbericht von Benedikt Plass-Fleßenkämper

  1. Dungeons & Dragons Dark Alliance schickt Dunkelelf Drizzt nach Icewind Dale

    •  /