Sicherheitsforscher von Cisco Talos haben ein Tool, das Windows-Computer bis zu einem gewissen Grad vor bestimmten Verschlüsselungs-Trojanern beschützen soll, namens MBRFilter veröffentlicht.

Das Tool verhindert dabei aber nicht das Verschlüsseln von Daten, sondern schützt das GUID Partition Table (GPT) und den Master Boot Record (MBR) davor, überschrieben zu werden. Um den Zugriff auf infizierte Computer zu sperren, macht Ransomware wie HDDCryptor und Petya nämlich genau das.

MBRFilter verbietet von allen an einen Computer angeschlossenen Festplatten das Schreiben auf den Sektor 0. Ein Schädling kann so etwa nicht auf den MBR zugreifen. Die Entwickler setzen, um das zu erreichen, unter anderem auf Microsofts Windows-Bordmittel Diskperf.

Wenn eine neue Festplatte in ein System eingebunden werden soll, kann diese Vorgehensweise jedoch Probleme machen. Doch es gibt Abhilfe und es muss lediglich auf Cancel im MBRFilter-Feld geklickt werden. Wer versehentlich auf OK geklickt hat, muss Windows im abgesicherten Modus booten und die Anleitung von Talos befolgen. Wie das Tool wieder entfernt wird, steht dort ebenfalls.

MBRFilter macht laut den Ransomware-Experten von Bleepingcomputer.com, was es verspricht. Sie konnten Petya in ihren Tests mit dem Tool erfolgreich daran hindern, den MBR zu verändern.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE