Zerstörerische Ransomware: Redboot

27. September 2017
Verfasst von Sarah Schaudel

Bild: © santiago silver - Fotolia.com

Redboot ist eine zerstörerische neue Ransomware, die von Bleepingcomputer entdeckt wurde. Besonders tückisch: Redboot greift tief ins System ein und überschreibt den MBR vor dem Verschlüsseln der Festplatte.

Aktuell werden ausschließlich Windows Computer befallen!

Wie sich der Trojaner ausbreitet geht aus dem Artikel von Bleeping Computer nicht hervor. Denkbar ist aber die Infektion durch E-Mails beim Anklicken eines Links oder dem Öffnen von Anhängen sowie der Besuch von nicht vertrauenswürdigen Websites.

Was ist eigentlich der MBR?

MBR steht für Master Boot Record und enthält neben dem Bootloader, also dem Programm zum Starten des Betriebssystems, die Partitionstabellen sowie weitere Informationen zur Größenangabe der Festplatte und Hilfsprogramme.
Wenn Sie Ihren Computer anschalten, wird der MBR in den Arbeitsspeicher geladen und sorgt letztendlich für den Start Ihres Betriebssystems. Ist der MBR beschädigt sind Sie aus Ihrem eigenen Computer ausgesperrt.

Wird Redboot erst einmal ausgeführt gibt es keine Rettung!

Beim Start von Redboot wird als erstes der MBR überschrieben. Anschließend werden die Daten des Computers verschlüsselt und Programme, die den Vorgang stören oder verhindern könnten blockiert (bspw. Task Manager).
Sobald die Verschlüsselung abgeschlossen ist, wird der Computer neugestartet. Beim Neustart wird auf dem Bildschirm ein roter Screen mit einer Nachricht an das Opfer angezeigt:

"his computer and all of it's files have been locked! Send an email to redboot@meware.net contoining your ID key for instructions how to unlock them. Your ID key is [...]"

Es lässt sich nicht überprüfen, ob es sich um eine eindeutig zuzuordnende ID handelt.

Bei bekannter Ransomware wird das Opfer dazu aufgefordert ein Lösegeld bspw. in der Kryptowährung Bitcoin zu bezahlen. Das Senden einer E-Mail ist ungewöhnlich.

Ransomware or Wiper? RedBoot Encrypts Files but also Modifies Partition Table - by @lawrenceabramshttps://t.co/LbI2vPf7t3

— BleepingComputer (@BleepinComputer) 23. September 2017

Vandalismus statt Erpressung!

Es wird vermutet, dass es sich bei Redboot um einen sog. Wiper handelt. Wiper nennt man Schadsoftware einzig mit dem Ziel größtmöglichen Schaden anzurichten und nicht etwa Profit zu erzielen, wie das bei Ransomware üblich ist. Das Eingreifen in den MBR und die fehlende Eingabemöglichkeit eines Entschlüsselungscodes sind Indizien dafür.

Zudem wird vermutet, dass die E-Mail-Adresse dazu verwendet wird, die Ausbreitung von Redboot auszuwerden.

Die einzige Möglichkeit die Daten zu schützen sind regelmäßige Backups!