Neuer Trick: Ransomware versteckt sich im Windows Safe Mode

Windows startet im abgesicherten Modus meist keine Antiviren- oder Endpoint-Protection-Software - diesen Umstand nutzt die Ransomware Snatch aus, um nicht entdeckt zu werden und die Dateien verschlüsseln zu können.

Artikel veröffentlicht am ,
Im abgesicherten Modus kann die Schadsoftware unerkannt schalten und walten.
Im abgesicherten Modus kann die Schadsoftware unerkannt schalten und walten. (Bild: Martin Wolf/Golem.de)

Mit einem findigen Trick umgeht die Schadsoftware Snatch die Erkennung durch Antiviren- oder Endpoint-Protection-Software: Sie richtet sich als Dienst ein und startet anschließend Windows im abgesicherten Modus neu. In diesem sind Antiviren- oder Endpoint-Protection-Software nicht aktiv und können die Schadsoftware weder erkennen noch bei der Verschlüsselung der Daten stören. Entdeckt wurde die Schadsoftware von der Sicherheitsfirma Sophos.

Stellenmarkt
  1. Software Engineer (m/w/d) Schwerpunkt C#
    Thales Deutschland GmbH, Ditzingen
  2. Webdesigner (m/w/d) in Teilzeit
    Scale Prop GmbH, Bundesweit (Homeoffice)
Detailsuche

Snatch sei allerdings nicht nur eine Ransomware, sondern sammle auch Informationen auf den betroffenen Systemen, erklärt Sophos. Unter dem Namen Superbackupman, richtet die Schadsoftware einen Dienst ein, die sie mit der Beschreibung "Dieser Dienst erstellt täglich Sicherungskopien" (Original: "This service make backup copy every day") als einen Backup-Dienst tarnt. Über einen Registry-Key legt die Schadsoftware fest, dass Superbackupman auch im abgesicherten Modus gestartet wird. Direkt danach startet sie den Rechner im abgesicherten Modus neu. Dort angekommen, löscht die Ransomware alle Schattenkopien der Laufwerke, um eine forensische Wiederherstellung der Daten nach einer Verschlüsselung zu verhindern. Dann beginnt sie mit dem Verschlüsseln der Daten.

Der Name Snatch geht zurück auf den Film "Snatch - Schweine und Diamanten" von Guy Ritchie aus dem Jahr 2000. Beispielsweise enthielt die Lösegeldforderung in früheren Versionen der Schadsoftware die E-Mail-Adresse imboristheblade@protonmail.com - benannt nach dem Snatch-Charakter Boris the Blade, einem ehemaligen russischen KGB-Agenten.

Laut Sophos greift das Snatch Team, wie sich die Autoren der Schadsoftware selbst nennen, in einem ersten Schritt automatisiert Firmennetzwerke an. Dies geschehe über Brute-Force-Angriffe, also das Durchprobieren von Passwörtern, auf exponierte Dienste. Als Beispiel nennt Sophos einen Azure-Server, auf welchem sich die Angreifer nach einem erfolgreichen Brute-Force-Angriff per RDP anmelden konnten. Anschließend sammeln die Angreifer Daten über das interne Netzwerk und greifen nach mehreren Tagen oder Wochen Rechner an und installierten dort die Schadsoftware Snatch.

Golem Karrierewelt
  1. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
  2. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    07./08.06.2022, Virtuell
Weitere IT-Trainings

Sophos habe die Schadsoftware bereits vor einem Jahr entdeckt und vermute, dass sie bereits seit Sommer 2018 aktiv ist - allerdings ohne die Funktion Windows im abgesicherten Modus neu zu starten, das soll erst erst kürzlich hinzugefügt worden sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


chefin 11. Dez 2019

Ja, der abgesicherte Modus ist kein reguläres Modus, der das Arbeiten ermöglicht. Er...

Sybok 10. Dez 2019

Nein, warum sollte man? Ist ja nur eine Konfigurationsdatenbank, die natürlich auch die...

AllDayPiano 10. Dez 2019

Auch ein sehr guter Tipp. Ok dann korrigiere ich: der von Microsoft vorgesehenen weg ist...

Tantalus 10. Dez 2019

Zur Anmeldung schon, aber die Schadsoftware installiert sich ja als Dienst, der läuft...



Aktuell auf der Startseite von Golem.de
Desktop-Modus des Steam Deck ausprobiert
Das fast perfekte Linux für Umsteiger

Das Steam Deck könnte für einige der erste Desktop-Rechner sein und kommt mit der Linux-Distribution SteamOS. Taugt das für den Einstieg?
Ein Hands-on von Sebastian Grüner

Desktop-Modus des Steam Deck ausprobiert: Das fast perfekte Linux für Umsteiger
Artikel
  1. Verifone: Bundesweite Störung von Girokarten-Terminals
    Verifone
    Bundesweite Störung von Girokarten-Terminals

    In vielen Geschäften lässt sich derzeit nur bar bezahlen. Ursache ist wohl ein Softwarefehler in Kartenzahlungsterminals für Giro- und Kreditkarten.

  2. Amazons E-Book-Reader: Alte Kindle-Modelle verlieren Buchkauf und -ausleihe
    Amazons E-Book-Reader
    Alte Kindle-Modelle verlieren Buchkauf und -ausleihe

    Amazon streicht in Kürze auf fünf älteren Kindle-Modellen alle Funktionen, die mit Amazons E-Book-Store zusammenhängen.

  3. Urheberrecht: Seth Greens Affe ist entführt worden
    Urheberrecht
    Seth Greens Affe ist entführt worden

    Per Phishing-Angriff ist dem Schauspieler sein Bored-Ape-NFT entwendet worden. Das bringt seine neue Serie in Gefahr.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Days of Play: (u. a. PS5-Controller (alle Farben) günstig wie nie: 49,99€, PS5-Headset Sony Pulse 3D günstig wie nie: 79,99€) • Viewsonic Gaming-Monitore günstiger • Mindstar (u. a. MSI RTX 3090 24GB 1.599€) • Xbox Series X bestellbar • Samsung SSD 1TB 79€ [Werbung]
    •  /