Neuer Trick: Ransomware versteckt sich im Windows Safe Mode

Windows startet im abgesicherten Modus meist keine Antiviren- oder Endpoint-Protection-Software - diesen Umstand nutzt die Ransomware Snatch aus, um nicht entdeckt zu werden und die Dateien verschlüsseln zu können.

Artikel veröffentlicht am ,
Im abgesicherten Modus kann die Schadsoftware unerkannt schalten und walten.
Im abgesicherten Modus kann die Schadsoftware unerkannt schalten und walten. (Bild: Martin Wolf/Golem.de)

Mit einem findigen Trick umgeht die Schadsoftware Snatch die Erkennung durch Antiviren- oder Endpoint-Protection-Software: Sie richtet sich als Dienst ein und startet anschließend Windows im abgesicherten Modus neu. In diesem sind Antiviren- oder Endpoint-Protection-Software nicht aktiv und können die Schadsoftware weder erkennen noch bei der Verschlüsselung der Daten stören. Entdeckt wurde die Schadsoftware von der Sicherheitsfirma Sophos.

Snatch sei allerdings nicht nur eine Ransomware, sondern sammle auch Informationen auf den betroffenen Systemen, erklärt Sophos. Unter dem Namen Superbackupman, richtet die Schadsoftware einen Dienst ein, die sie mit der Beschreibung "Dieser Dienst erstellt täglich Sicherungskopien" (Original: "This service make backup copy every day") als einen Backup-Dienst tarnt. Über einen Registry-Key legt die Schadsoftware fest, dass Superbackupman auch im abgesicherten Modus gestartet wird. Direkt danach startet sie den Rechner im abgesicherten Modus neu. Dort angekommen, löscht die Ransomware alle Schattenkopien der Laufwerke, um eine forensische Wiederherstellung der Daten nach einer Verschlüsselung zu verhindern. Dann beginnt sie mit dem Verschlüsseln der Daten.

Der Name Snatch geht zurück auf den Film "Snatch - Schweine und Diamanten" von Guy Ritchie aus dem Jahr 2000. Beispielsweise enthielt die Lösegeldforderung in früheren Versionen der Schadsoftware die E-Mail-Adresse imboristheblade@protonmail.com - benannt nach dem Snatch-Charakter Boris the Blade, einem ehemaligen russischen KGB-Agenten.

Laut Sophos greift das Snatch Team, wie sich die Autoren der Schadsoftware selbst nennen, in einem ersten Schritt automatisiert Firmennetzwerke an. Dies geschehe über Brute-Force-Angriffe, also das Durchprobieren von Passwörtern, auf exponierte Dienste. Als Beispiel nennt Sophos einen Azure-Server, auf welchem sich die Angreifer nach einem erfolgreichen Brute-Force-Angriff per RDP anmelden konnten. Anschließend sammeln die Angreifer Daten über das interne Netzwerk und greifen nach mehreren Tagen oder Wochen Rechner an und installierten dort die Schadsoftware Snatch.

Sophos habe die Schadsoftware bereits vor einem Jahr entdeckt und vermute, dass sie bereits seit Sommer 2018 aktiv ist - allerdings ohne die Funktion Windows im abgesicherten Modus neu zu starten, das soll erst erst kürzlich hinzugefügt worden sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


chefin 11. Dez 2019

Ja, der abgesicherte Modus ist kein reguläres Modus, der das Arbeiten ermöglicht. Er...

Sybok 10. Dez 2019

Nein, warum sollte man? Ist ja nur eine Konfigurationsdatenbank, die natürlich auch die...

AllDayPiano 10. Dez 2019

Auch ein sehr guter Tipp. Ok dann korrigiere ich: der von Microsoft vorgesehenen weg ist...

Tantalus 10. Dez 2019

Zur Anmeldung schon, aber die Schadsoftware installiert sich ja als Dienst, der läuft...



Aktuell auf der Startseite von Golem.de
Star Wars
Holiday Special jetzt in 4K mit 60 fps

Eine bessere Story bekommt der legendär schlechte Film dadurch leider nicht. Bis heute lieben ihn einige Fans aber vor allem wegen seiner Absurdität.

Star Wars: Holiday Special jetzt in 4K mit 60 fps
Artikel
  1. Lohn und Gehalt: OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr
    Lohn und Gehalt
    OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr

    Die Firma hinter Chat-GPT zahlt im Vergleich zu Unternehmen wie Nvidia besonders gut. Erfahrene Forscher und Entwickler auf dem Gebiet sind Mangelware.

  2. Software-Probleme: Elektrischer Chevy Blazer mit Verkaufsstopp belegt
    Software-Probleme
    Elektrischer Chevy Blazer mit Verkaufsstopp belegt

    Chevrolet hat einen Verkaufsstopp für sein neues Elektro-SUV Blazer verhängt, weil die Besitzer zahlreiche Softwareprobleme gemeldet haben.

  3. USA: Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu
    USA
    Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu

    Das US-Solarunternehmen iSun und der deutschen Agrivoltaik-Firma Next2Sun bauen in den USA eine Solaranlage mit vertikal aufgestellten Solarmodulen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Crucial P5 Plus 2 TB mit Kühlkörper 114,99€ • Crucial Pro 32 GB DDR5-5600 79,99€ • Logitech G915 TKL LIGHTSYNC RGB 125,11€ • Anthem PC 0,99€ • Wochenendknaller bei MediaMarkt • MindStar: Patriot Viper VENOM 64 GB DDR5-6000 159€, XFX RX 7900 XT Speedster MERC 310 Black 789€ [Werbung]
    •  /