Neuer Trick: Ransomware versteckt sich im Windows Safe Mode

Windows startet im abgesicherten Modus meist keine Antiviren- oder Endpoint-Protection-Software - diesen Umstand nutzt die Ransomware Snatch aus, um nicht entdeckt zu werden und die Dateien verschlüsseln zu können.

Artikel veröffentlicht am ,
Im abgesicherten Modus kann die Schadsoftware unerkannt schalten und walten.
Im abgesicherten Modus kann die Schadsoftware unerkannt schalten und walten. (Bild: Martin Wolf/Golem.de)

Mit einem findigen Trick umgeht die Schadsoftware Snatch die Erkennung durch Antiviren- oder Endpoint-Protection-Software: Sie richtet sich als Dienst ein und startet anschließend Windows im abgesicherten Modus neu. In diesem sind Antiviren- oder Endpoint-Protection-Software nicht aktiv und können die Schadsoftware weder erkennen noch bei der Verschlüsselung der Daten stören. Entdeckt wurde die Schadsoftware von der Sicherheitsfirma Sophos.

Stellenmarkt
  1. SAP QM/MES Spezialist (m/w/d)
    Müller Service GmbH, Leppersdorf
  2. SAP Intelligent Enterprise Consultant (m/w/d) - Analytics
    Lufthansa Industry Solutions AS GmbH, Norderstedt
Detailsuche

Snatch sei allerdings nicht nur eine Ransomware, sondern sammle auch Informationen auf den betroffenen Systemen, erklärt Sophos. Unter dem Namen Superbackupman, richtet die Schadsoftware einen Dienst ein, die sie mit der Beschreibung "Dieser Dienst erstellt täglich Sicherungskopien" (Original: "This service make backup copy every day") als einen Backup-Dienst tarnt. Über einen Registry-Key legt die Schadsoftware fest, dass Superbackupman auch im abgesicherten Modus gestartet wird. Direkt danach startet sie den Rechner im abgesicherten Modus neu. Dort angekommen, löscht die Ransomware alle Schattenkopien der Laufwerke, um eine forensische Wiederherstellung der Daten nach einer Verschlüsselung zu verhindern. Dann beginnt sie mit dem Verschlüsseln der Daten.

Der Name Snatch geht zurück auf den Film "Snatch - Schweine und Diamanten" von Guy Ritchie aus dem Jahr 2000. Beispielsweise enthielt die Lösegeldforderung in früheren Versionen der Schadsoftware die E-Mail-Adresse imboristheblade@protonmail.com - benannt nach dem Snatch-Charakter Boris the Blade, einem ehemaligen russischen KGB-Agenten.

Laut Sophos greift das Snatch Team, wie sich die Autoren der Schadsoftware selbst nennen, in einem ersten Schritt automatisiert Firmennetzwerke an. Dies geschehe über Brute-Force-Angriffe, also das Durchprobieren von Passwörtern, auf exponierte Dienste. Als Beispiel nennt Sophos einen Azure-Server, auf welchem sich die Angreifer nach einem erfolgreichen Brute-Force-Angriff per RDP anmelden konnten. Anschließend sammeln die Angreifer Daten über das interne Netzwerk und greifen nach mehreren Tagen oder Wochen Rechner an und installierten dort die Schadsoftware Snatch.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Sophos habe die Schadsoftware bereits vor einem Jahr entdeckt und vermute, dass sie bereits seit Sommer 2018 aktiv ist - allerdings ohne die Funktion Windows im abgesicherten Modus neu zu starten, das soll erst erst kürzlich hinzugefügt worden sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Frommer Legal
Große Abmahnwelle wegen Filesharing in Deutschland

Viele Menschen suchen derzeit Hilfe bei einer Anwaltskanzlei, weil sie wegen angeblich illegalen Filesharings abgemahnt wurden.

Frommer Legal: Große Abmahnwelle wegen Filesharing in Deutschland
Artikel
  1. Ärger um Drachenlord: Dorf verhängt Allgemeinverfügung wegen umstrittenem Youtuber
    Ärger um Drachenlord
    Dorf verhängt Allgemeinverfügung wegen umstrittenem Youtuber

    Seit Jahren ist das Dorf Altschauerberg Schauplatz von Provokationen gegen den Youtuber Rainer Winkler. Jetzt sollen neue Gesetze die Ordnung wiederherstellen.

  2. Elektroautos: Neue Ladekarten sollen Schwarzladen verhindern
    Elektroautos
    Neue Ladekarten sollen Schwarzladen verhindern

    Das einfache Klonen von Ladekarten soll künftig nicht mehr möglich sein. Doch dazu müssen alle im Umlauf befindlichen Karten ausgetauscht werden.

  3. Kriminalität: Dresdnerin wegen Mordauftrag im Darknet angeklagt
    Kriminalität
    Dresdnerin wegen Mordauftrag im Darknet angeklagt

    Eine 41-Jährige aus Dresden ist angeklagt, im Darknet einen Mord in Auftrag gegeben zu haben. Für die Ermordung der neuen Freundin ihres Ex-Mannes soll sie 0,2 Bitcoin geboten haben.

chefin 11. Dez 2019

Ja, der abgesicherte Modus ist kein reguläres Modus, der das Arbeiten ermöglicht. Er...

Sybok 10. Dez 2019

Nein, warum sollte man? Ist ja nur eine Konfigurationsdatenbank, die natürlich auch die...

AllDayPiano 10. Dez 2019

Auch ein sehr guter Tipp. Ok dann korrigiere ich: der von Microsoft vorgesehenen weg ist...

Tantalus 10. Dez 2019

Zur Anmeldung schon, aber die Schadsoftware installiert sich ja als Dienst, der läuft...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Nur noch bis 9 Uhr: Gönn dir Dienstag bei MediaMarkt (u. a. Nintendo Switch Pro Controller + Monster Hunter Rise 89,99€, Nacon Gaming-Stuhl 179,99€, HP Reverb 2 VR Headset mit Controller 599,99€) [Werbung]
    •  /