Herzlich willkommen bei PC-Sicherheit.net
Du betrachtest derzeit das Forum als Gast und hast damit nur eingeschränkten Zugriff. Um alle Bereiche zusehen und alle Forenfunktionen nutzen zu können ist eine kostenlose Registrierung erforderlich.

Wir würden uns freuen Dich bald bei uns als Mitglied begrüßen zu dürfen.
Viele Grüße vom PC-Sicherheit.net Team

Trojaner Red kann MBR ,Dateien total zerstören

Hier ist der Platz für alle wichtigen Sicherheitsmeldungen.
Benutzeravatar
Astor27
Moderator
Moderator
Beiträge: 25177
Registriert: So 5. Feb 2012, 15:21
Betriebssystem: Win10-64bit,Win11
Browser: Firefox124.0.1/Brave
Firewall: KIS21
Virenscanner: KIS21
Hat sich bedankt: 9386 Mal
Danksagung erhalten: 8596 Mal

Trojaner Red kann MBR ,Dateien total zerstören

#1

Beitrag von Astor27 »

Der Krypto-Trojaner RedBoot kann Dateien und die MBR infizieren .
Quelle: https://www.heise.de/security/meldung/K ... 40923.html
Wieder neue Ransomware im Umlauf mit Zerstörung des Systems
Folgende Benutzer bedankten sich beim Autor Astor27 für den Beitrag:
darktwillight
Ich empfehle den download und update immer von der Original Seite der Software.
gizmostrolch
Foren Experte
Foren Experte
Beiträge: 2360
Registriert: Fr 30. Jun 2017, 17:59
Betriebssystem: Windows 10 Pro 22H2
Browser: Firefox
Firewall: GlassWire Free
Virenscanner: Kaspersky Free
Hat sich bedankt: 25 Mal
Danksagung erhalten: 919 Mal

Re: Trojaner Red kann MBR ,Dateien total zerstören

#2

Beitrag von gizmostrolch »

Deshalb mein Credo in Foren für PC Sicherheit: Leute macht bitte regelmässig auch Systembackups auf eine externe Festplatte und achtet dabei darauf das auch der MBR mitgesichert wird.
Gast
Hat sich bedankt: 0
Danksagung erhalten: 0

Re: Trojaner Red kann MBR ,Dateien total zerstören

#3

Beitrag von Gast »

Nachdem RedBoot ausgeführt wurde, überschreibt es zunächst den MBR mit mitgeliefertem und kompiliertem Assemblercode. Daraufhin werden die zwei ebenfalls mitgelieferten Programme main.exe und protect.exe gestartet. Das erste Programm durchsucht den Computer und verschlüsselt ausführbare Programme, DLLs sowie Dokumente und Bilder. Dabei werden sie mit der Endung .locked versehen. Gleichzeitig sorgt protect.exe dafür, dass main.exe möglichst störungsfrei arbeiten kann und blockiert Programme, welche die Infektion beeinträchtigen oder verhindern könnten. Dazu gehört unter anderem der Task-Manager. Ist die Verschlüsselung abgeschlossen, startet die Ransomware den PC neu, wobei statt Windows nun das oben genannte Erpresserschreiben angezeigt wird.
Kein Weg zurück

Die Analysten von Bleepingcomputer haben keine Möglichkeit gefunden, einen Entschlüsselungscode einzugeben, daher sind von RedBoot verschlüsselte Daten vermutlich nicht wiederherstellbar. Entweder RedBoot ist eine sehr schlecht geschriebene und verbuggte Ransomware oder sie war nie dazu ausgelegt, die Daten wieder entschlüsseln zu können – damit wäre sie als Wiper einzuordnen. Die in AutoIT geschriebene Ransomware ahmt mit dem Ersetzen des MBR die in Deutschland verbreitete Ransomware Petya nach, welche dieses Verfahren ebenfalls eingesetzt hat.
https://m.heise.de/security/meldung/Kry ... 40923.html
Wie will man den Computer wiederherstellen, wenn der gesamte Computer verschlüsselt ist ?
Folgende Benutzer bedankten sich beim Autor Gast für den Beitrag:
darktwillight
gizmostrolch
Foren Experte
Foren Experte
Beiträge: 2360
Registriert: Fr 30. Jun 2017, 17:59
Betriebssystem: Windows 10 Pro 22H2
Browser: Firefox
Firewall: GlassWire Free
Virenscanner: Kaspersky Free
Hat sich bedankt: 25 Mal
Danksagung erhalten: 919 Mal

Re: Trojaner Red kann MBR ,Dateien total zerstören

#4

Beitrag von gizmostrolch »

Wie will man den Computer wiederherstellen, wenn der gesamte Computer verschlüsselt ist ?
Warum nicht? nehmen wir mal dieser Trojaner würde meinen PC verschlüsseln, was würde ich also machen? Paragon Boot CD einlegen, USB Festplatte einschalten und das letzte Backup der Systempartition C einspielen. Und schon hab ich mein Windows wieder und alles was auf C installiert ist und die Verschlüsselung des MBR und möglicher Dateien wäre Geschichte. Hätte der Trojaner dann auch noch Dateien auf den Partitionen D und E verschlüsselt, würde ich auch hier Backups dieser Partitionen einspielen. Und beim einspielen des Backups der Sytempartition C wird der mitgesicherte MBR(siehe Bild)neu mit aufgespielt und somit dessen Verschlüsselung durch den Trojaner aufgehoben.
[ externes Bild ]
Folgende Benutzer bedankten sich beim Autor gizmostrolch für den Beitrag:
darktwillight
Benutzeravatar
Dr.Virus
Foren Experte
Foren Experte
Beiträge: 2314
Registriert: Mo 30. Dez 2013, 23:41
Betriebssystem: Windows 11 64-Bit
Wohnort: Germany / USA
Hat sich bedankt: 889 Mal
Danksagung erhalten: 991 Mal

Re: Trojaner Red kann MBR ,Dateien total zerstören

#5

Beitrag von Dr.Virus »

Für solche Fälle liegt bei mir immer ein Vollbackup auf Lager. 😊
Folgende Benutzer bedankten sich beim Autor Dr.Virus für den Beitrag:
darktwillight
Erst denken, dann handeln.

Gruß Dr.Virus
Gast
Hat sich bedankt: 0
Danksagung erhalten: 0

Re: Trojaner Red kann MBR ,Dateien total zerstören

#6

Beitrag von Gast »

Im Bericht steht, dass nach Neustart des PC anstatt Windows die Erpressermaske startet. Somit gibt es keinen Weg für Windows.
Recovery Programme starten bekanntlich nur mit Windows.
Benutzeravatar
Dr.Virus
Foren Experte
Foren Experte
Beiträge: 2314
Registriert: Mo 30. Dez 2013, 23:41
Betriebssystem: Windows 11 64-Bit
Wohnort: Germany / USA
Hat sich bedankt: 889 Mal
Danksagung erhalten: 991 Mal

Re: Trojaner Red kann MBR ,Dateien total zerstören

#7

Beitrag von Dr.Virus »

Sollte mit der bootfähigen DVD des Backupprogramms trotzdem funktionieren, funktioniert auch wenn Windows überhaupt nicht mehr startet.
Folgende Benutzer bedankten sich beim Autor Dr.Virus für den Beitrag:
darktwillight
Erst denken, dann handeln.

Gruß Dr.Virus
gizmostrolch
Foren Experte
Foren Experte
Beiträge: 2360
Registriert: Fr 30. Jun 2017, 17:59
Betriebssystem: Windows 10 Pro 22H2
Browser: Firefox
Firewall: GlassWire Free
Virenscanner: Kaspersky Free
Hat sich bedankt: 25 Mal
Danksagung erhalten: 919 Mal

Re: Trojaner Red kann MBR ,Dateien total zerstören

#8

Beitrag von gizmostrolch »

Gast hat geschrieben: Di 26. Sep 2017, 10:11 Im Bericht steht, dass nach Neustart des PC anstatt Windows die Erpressermaske startet. Somit gibt es keinen Weg für Windows.
Recovery Programme starten bekanntlich nur mit Windows.
Da täuscht du dich aber, denn wenn man von einer Boot CD oder Boot USB Stick eines Backup Programms bootet, bleibt Windows aussen vor, wird nicht geladen bzw angesteuert und mittels des Boot Mediums kann man seine Backups ansteuern auf der eingeschalteten USB Festplatte, eines auswählen und dieses einspielen.
Für solche Fälle liegt bei mir immer ein Vollbackup auf Lager. 😊
Vorbildlich :good: ich bevorzuge wegen meiner Spielepartition D einzelne Backups der Partitionen C, D und E.
Sollte mit der bootfähigen DVD des Backupprogramms trotzdem funktionieren, funktioniert auch wenn Windows überhaupt nicht mehr startet.
Das tut es auch, dafür sind ja die Backup Programme und deren Boot Medien ja da.
Folgende Benutzer bedankten sich beim Autor gizmostrolch für den Beitrag:
darktwillight
Benutzeravatar
Dr.Virus
Foren Experte
Foren Experte
Beiträge: 2314
Registriert: Mo 30. Dez 2013, 23:41
Betriebssystem: Windows 11 64-Bit
Wohnort: Germany / USA
Hat sich bedankt: 889 Mal
Danksagung erhalten: 991 Mal

Re: Trojaner Red kann MBR ,Dateien total zerstören

#9

Beitrag von Dr.Virus »

So ist es, sonst würde das ganze keinen Sinn machen. :good:
Folgende Benutzer bedankten sich beim Autor Dr.Virus für den Beitrag:
darktwillight
Erst denken, dann handeln.

Gruß Dr.Virus
gizmostrolch
Foren Experte
Foren Experte
Beiträge: 2360
Registriert: Fr 30. Jun 2017, 17:59
Betriebssystem: Windows 10 Pro 22H2
Browser: Firefox
Firewall: GlassWire Free
Virenscanner: Kaspersky Free
Hat sich bedankt: 25 Mal
Danksagung erhalten: 919 Mal

Re: Trojaner Red kann MBR ,Dateien total zerstören

#10

Beitrag von gizmostrolch »

Ich weiß Dr.Virus und ich hoffe, Jeykill Hyde was jetzt was mir meinen und glaubt es uns.
Antworten

Zurück zu „Aktuelle Sicherheits News“