Neuer Trick: Ransomware versteckt sich im Windows Safe Mode

Windows startet im abgesicherten Modus meist keine Antiviren- oder Endpoint-Protection-Software - diesen Umstand nutzt die Ransomware Snatch aus, um nicht entdeckt zu werden und die Dateien verschlüsseln zu können.

Artikel veröffentlicht am ,
Im abgesicherten Modus kann die Schadsoftware unerkannt schalten und walten.
Im abgesicherten Modus kann die Schadsoftware unerkannt schalten und walten. (Bild: Martin Wolf/Golem.de)

Mit einem findigen Trick umgeht die Schadsoftware Snatch die Erkennung durch Antiviren- oder Endpoint-Protection-Software: Sie richtet sich als Dienst ein und startet anschließend Windows im abgesicherten Modus neu. In diesem sind Antiviren- oder Endpoint-Protection-Software nicht aktiv und können die Schadsoftware weder erkennen noch bei der Verschlüsselung der Daten stören. Entdeckt wurde die Schadsoftware von der Sicherheitsfirma Sophos.

Snatch sei allerdings nicht nur eine Ransomware, sondern sammle auch Informationen auf den betroffenen Systemen, erklärt Sophos. Unter dem Namen Superbackupman, richtet die Schadsoftware einen Dienst ein, die sie mit der Beschreibung "Dieser Dienst erstellt täglich Sicherungskopien" (Original: "This service make backup copy every day") als einen Backup-Dienst tarnt. Über einen Registry-Key legt die Schadsoftware fest, dass Superbackupman auch im abgesicherten Modus gestartet wird. Direkt danach startet sie den Rechner im abgesicherten Modus neu. Dort angekommen, löscht die Ransomware alle Schattenkopien der Laufwerke, um eine forensische Wiederherstellung der Daten nach einer Verschlüsselung zu verhindern. Dann beginnt sie mit dem Verschlüsseln der Daten.

Der Name Snatch geht zurück auf den Film "Snatch - Schweine und Diamanten" von Guy Ritchie aus dem Jahr 2000. Beispielsweise enthielt die Lösegeldforderung in früheren Versionen der Schadsoftware die E-Mail-Adresse imboristheblade@protonmail.com - benannt nach dem Snatch-Charakter Boris the Blade, einem ehemaligen russischen KGB-Agenten.

Laut Sophos greift das Snatch Team, wie sich die Autoren der Schadsoftware selbst nennen, in einem ersten Schritt automatisiert Firmennetzwerke an. Dies geschehe über Brute-Force-Angriffe, also das Durchprobieren von Passwörtern, auf exponierte Dienste. Als Beispiel nennt Sophos einen Azure-Server, auf welchem sich die Angreifer nach einem erfolgreichen Brute-Force-Angriff per RDP anmelden konnten. Anschließend sammeln die Angreifer Daten über das interne Netzwerk und greifen nach mehreren Tagen oder Wochen Rechner an und installierten dort die Schadsoftware Snatch.

Sophos habe die Schadsoftware bereits vor einem Jahr entdeckt und vermute, dass sie bereits seit Sommer 2018 aktiv ist - allerdings ohne die Funktion Windows im abgesicherten Modus neu zu starten, das soll erst erst kürzlich hinzugefügt worden sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Ransomware
Nextcry hat es auf Nextcloud-Installationen abgesehen
artikel-bild
Python
Trojanisierte Bibliotheken stehlen SSH- und GPG-Schlüssel
artikel-bild
Social Engineering
"Die Mitarbeiter sind unsere Verteidigung"
Meistgelesen
artikel-bild
Direkte-E-Fuel-Produktion
Porsches Masterplan hinter dem Verbrennerkompromiss
artikel-bild
KI im Programmierertest
Kann GPT-4 wirklich Code schreiben?
artikel-bild
Automobil
Keine zwei Minuten, um einen Tesla Model 3 zu hacken
Kommentarübersicht
Re: Abgesicherter Modus
chefin 11. Dez 2019

Ja, der abgesicherte Modus ist kein reguläres Modus, der das Arbeiten ermöglicht. Er...

Re: Registry key
Sybok 10. Dez 2019

Nein, warum sollte man? Ist ja nur eine Konfigurationsdatenbank, die natürlich auch die...

Re: Nützlich
AllDayPiano 10. Dez 2019

Auch ein sehr guter Tipp. Ok dann korrigiere ich: der von Microsoft vorgesehenen weg ist...

Re: Braucht man kein Admin passwort für den save...
Tantalus 10. Dez 2019

Zur Anmeldung schon, aber die Schadsoftware installiert sich ja als Dienst, der läuft...

Aktuell auf der Startseite von Golem.de
Direkte-E-Fuel-Produktion
Porsches Masterplan hinter dem Verbrennerkompromiss

Der Sportwagenhersteller will künftig E-Fuels direkt im Fahrzeug produzieren. Dazu übernimmt Porsche das strauchelnde Start-up Sono Motors.
Ein Bericht von Friedhelm Greis

Direkte-E-Fuel-Produktion: Porsches Masterplan hinter dem Verbrennerkompromiss
Artikel
  1. BrouwUnie: Tesla verkauft Giga Bier zu einem stolzen Preis
    BrouwUnie
    Tesla verkauft Giga Bier zu einem stolzen Preis

    Tesla hat, wie von Elon Musk versprochen, nun eine eigene Biermarke im Angebot und verkauft drei Flaschen für knapp 90 Euro.

  2. Google: Ursache für Acropalypse-Lücke in Android seit Jahren bekannt
    Google
    Ursache für Acropalypse-Lücke in Android seit Jahren bekannt

    Eine wohl undokumentierte API-Änderung führte zu der Acropalypse-Sicherheitslücke. Das Problem dabei ist Google schon früh gemeldet worden.

  3. Automobil: Keine zwei Minuten, um einen Tesla Model 3 zu hacken
    Automobil
    Keine zwei Minuten, um einen Tesla Model 3 zu hacken

    Bei der Hacking-Konferenz Pwn2Own 2023 hat ein Forschungsteam keine zwei Minuten benötigt, um ein Tesla Model 3 zu hacken. Das brachte dem Team jede Menge Geld und einen neuen Tesla ein.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • ASUS VG27AQ1A QHD/170 Hz 269€ • Crucial P3 Plus 1 TB 60,98€ • ViewSonic VX3218-PC-MHDJ FHD/165 Hz 227,89€ • MindStar: be quiet! Pure Base 600 79€ • Alternate: Corsair Vengeance RGB 64-GB-Kit DDR5-6000 276,89€ und Weekend Sale • Elex II 12,99€ • 3 Spiele kaufen, 2 zahlen [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /