Ransomware: Redboot stoppt Windows-Start und kann nicht entschlüsseln

Die Redboot-Ransomware überschreibt den MBR, die Partitionstabelle - und hat offenbar keine Möglichkeit, die verschlüsselten Dateien jemals wiederherzustellen. Selbst, wenn die Opfer zahlen würden.

Artikel veröffentlicht am ,
Die Erpresserbotschaft
Die Erpresserbotschaft (Bild: Bleeping Computer)

Gegen eine neue Ransomware mit dem Namen Redboot gibt es neben Backups wohl keine Abhilfe. Nach Angaben von Bleeping Computer überschreibt das Programm den Master Boot Record der Festplatte und sperrt Nutzer aus ihrem Windows-System aus.

Stellenmarkt
  1. IT Performance Manager (m/w/d)
    CG Car-Garantie Versicherungs-AG, Freiburg im Breisgau
  2. Sachgebietsleitung (w/m/d) Informationstechnik
    Stadt Starnberg, Starnberg
Detailsuche

Die Ransomware soll derzeit über infizierte Mailanhänge verteilt werden und entpackt fünf Dateien auf die Festplatte der Nutzer. Die Dateien boot.asm und boot.bin werden durch ein Skript kompiliert und dann genutzt, um den bisherigen Master-Boot-Record der Festplatte zu überschreiben. Erst danach werden die Dateien auf der Festplatte verschlüsselt und mit der neuen Dateiendung .locked versehen.

Windows startet nicht mehr

Nach dem Verschlüsselungsvorgang wird der Rechner automatisch heruntergefahren, beim erneuten Hochfahren startet dann nicht Windows, sondern die Nutzer werden aufgefordert, eine E-Mail an redboot@memeware.net zu senden, um Instruktionen zum Bezahlen der Erpresserbotschaft zu bekommen. Es wird auch eine Key-ID angezeigt, die übermittelt werden soll. Bislang ist nicht geklärt, ob es sich wirklich um eine eindeutig zuzuordnende ID handelt.

Ebenfalls sieht die Ransomware keine Möglichkeit vor, einen Entschlüsselungskey einzugeben. Einzige Möglichkeit, die eigenen Daten wiederzubekommen, wäre daher ein selbst bootendes Tool, das die Angreifer nach der Zahlung der bislang ebenfalls unbekannten Erpressersumme zusenden würden. Bleeping Computer schreibt außerdem, dass die Malware auch die Partitionstabelle überschreibt und es bislang keine Hinweise darauf gibt, dass es ein funktionierendes Backup der Informationen gibt. Insgesamt kann also nur davor gewarnt werden, Zahlungen an die Erpresser zu leisten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


matzems 27. Sep 2017

https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Schutzprogramme...

Apfelbrot 27. Sep 2017

Seltsam denn selbst GPT hat einen MBR Seltsam, den genau das tut es. Seltsam, denn GPT...

tha_specializt 27. Sep 2017

... ich glaub du musst deine eigenen Begriffe nochmal googlen - in einer GPT ist ein MBR...

FreiGeistler 27. Sep 2017

Von den Innereien von Windows scheinst du aber wenig zu verstehen. Ums dir bequemer zu...



Aktuell auf der Startseite von Golem.de
Deutscher Entwicklerpreis
Entwickler küren The Wandering Village zum besten Spiel

Beste technische Leistung, Innovationspreis und bestes Spiel: The Wandering Village ist der große Gewinner beim Deutschen Entwicklerpreis 2022.

Deutscher Entwicklerpreis: Entwickler küren The Wandering Village zum besten Spiel
Artikel
  1. Apple Watch Ultra im Test: Tolle Sportuhr - und trotzdem Trainingsbedarf
    Apple Watch Ultra im Test
    Tolle Sportuhr - und trotzdem Trainingsbedarf

    Akkulaufzeit, Navigation und das Ökosystem: Golem.de ist mit der für ausdauernde Athleten gedachten Sportuhr Apple Watch Ultra unterwegs gewesen.
    Von Peter Steinlechner

  2. Blockbuster: Termine für Diablo 4 und Star Wars Jedi Survivor
    Blockbuster
    Termine für Diablo 4 und Star Wars Jedi Survivor

    Der Star-Wars-Shooter im März, Diablo 4 im Juni 2023: EA und Blizzard haben Neuigkeiten zu ihren Blockbustern - inklusive Terminen.

  3. Responsible Disclosure: Obi macht das Melden einer Sicherheitslücke schwer
    Responsible Disclosure
    Obi macht das Melden einer Sicherheitslücke schwer

    Ein Sicherheitsforscher hat eine Lücke bei mehreren Unternehmen und Stadtverwaltungen gemeldet. Obi machte es ihm besonders schwer.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gaming-Monitore -37% • Asus RTX 4080 1.399€ • PS5 bestellbar • Gaming-Laptops & Desktop-PCs -29% • MindStar: Sapphire RX 6900 XT 799€ statt 1.192€, Apple iPad (2022) 256 GB 599€ statt 729€ • Samsung SSDs -28% • Logitech Mäuse, Tastaturen & Headsets -53% [Werbung]
    •  /