Ransomware kapert MBR

Laut Trend Micro erreicht die Infektionswelle der Ramsomware Familie (bekannt durch die BKA-, GEMA-Trojaner) eine andere Ebene. Beschränkten sich die Manipulationen bisher auf die Autostarteinträge oder den Austausch der Shell, zielt die neue Version darauf ab, den MBR (Master Boot Record) zu manipulieren und somit den PC zu blockieren. Die aktuelle Version (TROJ_RANSOM.AQB) erstellt eine Kopie des MBR und überschreibt diesen mit einem eigenen Code (BOOT_RANSOM.AQB).

MBR Ransomware (Foto: Trend Micro)

Nach der Infektion wird der PC automatisch neugestartet und es erscheint eine Zahlungsaufforderung von 920 Hryvnia (ukrainische Währung) ( ca. 90 Euro) mit Hilfe des Bezahlsystems QIWI . Nach der Zahlung erhält der Anwender einen Code, mit dem er das System entsperren kann. Mögliche Ursachen für die Infektionen können Drive-by-Downloads oder ein Malwaredropper gewesen sein, d.h. das System war entweder vorher schon infiziert oder es sind eklatante Sicherheitslücken im System vorhanden wie z.B. veraltete Software oder fehlende Sicherheitsupdates.

Den Analysen zufolge kopiert sich die Schadsoftware in folgendes Verzeichnis:

%User Temp%\x2z8.exe

%User Temp%\fpath.txt

Mit %User Temp% ist der Verzeichnis C:\Documents and Settings\{user name}\Local Settings\Temp gemeint.

Betroffenen Anwendern empfehlen wir auf keinen Fall den geforderten Betrag zu zahlen. Für weitere Unterstützung wenden Sie sich bitte an unser Forum. Unsere Experten stehen Ihnen mit Rat zur Seite.