Foto: Bleeping Computer

Erpressungstrojaner, auch genannt Ransomware, sind üblicherweise ein Geldbeschaffungsmittel. Schaffen sie es, sich am System einzunisten, verschlüsseln sie Dateien oder sperren das System. Wer wieder Zugriff haben möchte, muss den verantwortlichen Cyberkriminellen Geld schicken.

Behörden empfehlen zwar, die Forderungen nicht zu erfüllen, in manchen Fällen – wenn es etwa um sehr wichtige Daten gibt und kein Backup existiert – fehlen jedoch Alternativen. Oft wird nach der Zahlung tatsächlich ein Key übermittelt, um die Dateien wieder freizugeben. Bei einer neu aufgetauchten Windows-Schadsoftware, die den namen "Redboot" erhalten hat, sieht die Sache jedoch anders aus.

Malware überschreibt auch Partitionstabelle

Wie Laurence Adams bei Bleeping Computer berichtet, verschlüsselt Redboot die Daten am System und versieht sie mit der Endung ".locked". Anschließend überschreibt sie auch den Master Boot Record, also die Partitionstabelle, die der Steuersoftware des Motherboards (BIOS) mitteilt, wo auf welchen Datenträgern ein Betriebssystem zu finden ist.

Die Folge: Windows startet nicht mehr. Stattdessen landet der Nutzer vor einem roten Bildschirm, auf dem in weißer Schrift die Aufforderung prangt, eine E-Mail an eine bestimmte Adresse zu schicken und dabei einen Key anzugeben.

Kein Wiederherstellungsmechanismus

Die Analyse von Redboot läuft noch, nach aktuellen Kenntnissen sieht es aber so aus, als verfüge die Schadsoftware aber gar nicht über die Möglichkeit, die Partitionstabelle wiederherzustellen. Unklar ist auch, ob der angezeigte Schlüssel eindeutig ist, was Voraussetzung für einen sauberen Entschlüsselungsmechanismus wäre. Zudem gibt es keine Möglichkeit, irgendwo einen Schlüssel für einzugeben, weswegen die Cyberkriminellen ein bootbares Entschlüsselungstool bereitstellen müssten.

Für Adams gibt es im Moment zwei Theorien. Entweder ist Redboot gar keine echte Erpressungssoftware, sondern dient einfach nur der Datenzerstörung. Oder es handelt sich schlicht um einen schlecht programmierten Schädling, wobei Adams selbst zweitere Variante für wahrscheinlich hält. In jedem Fall scheint es ratsam, kein Geld an die Hinterleute der Ransomware zu überweisen. (red, 26.09.2017)