Die Ransomware RedBoot wurde von Bleepingcomputer analysiert. Sie verschlüsselt den MBR (Master Boot Record) des infizierten Rechners und modifiziert die Partitionstabelle. Dies verhindert den Start von Windows. Stattdessen wird eine Meldung angezeigt, dass alle Dateien verschlüsselt seien, und der Nutzer solle sich per E-Mail mit den Entwicklern in Verbindung setzten, um Anweisungen für die Entschlüsselung zu erhalten.

Nach dem Ausführen von RedBoot wird zunächst das MBR mit dem mitgelieferten und kompilierten Assemblercode überschrieben. Daraufhin werden die mitgelieferten Programme main.exe und protect.exe gestartet. Das Programm Main.exe durchsucht den Computer und verschlüsselt ausführbare Programme, DLLs sowie Dokumente und Bilder. Diese werden mit der Endung .locked versehen. Gleichzeitig blockiert protext.exe alle Programme, welche die Infektion beeinträchtigen oder verhindern könnten. Dazu gehört unter anderem der Task-Manager. Nachdem die Verschlüsserung abgeschlossen wurde, startet die Ransomware den PC neu. Statt Windows wird nun die Meldung mit dem Erpresserschreiben angezeigt.

Die Sicherheitsforscher von Bleepingcomputer haben bislang keine Möglichkeit gefunden, einen Entschlüsselungscode einzugeben. Vermutlich sind die verschlüsselten Daten von RedBoot nicht wiederherstellbar. Die in AutoIT geschriebene Ransomware hat Ähnlichkeiten mit der in Deutschland verbreiteten Ransomeware Petya, welche ebenfalls das MBR beschrieben hat. RedBoot gelangt auf den PC über in der Quelle nicht genannte Wege, üblicherweise verbreitet sich Ransomware über infizierte E-Mail-Anhänge.

(pp, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE