TROJ_RANSOM.AQB kapert den MBR
 

Die Sicherheitsforscher von Trend Micro sind auf eine Ransomware gestoßen, die sich von früheren Varianten unterscheidet. Typische Ransomware verschlüsselt Dateien oder schränkt den Zugriff der Opfer auf das infizierte System ein. Die aktuelle Variante (TROJ_RANSOM.AQB) jedoch infiziert den Master Boot Record (MBR) und hindert das Betriebssystem am Hochfahren. Die Analyse zeigt, dass der Schädling den ursprünglichen MBR kopiert und mit dem eigenen bösartigen Code (BOOT_RANSOM.AQB) überschreibt. Nach Ausführung dieser Routine startet er das System erneut, um die Infektion in Gang zu setzen. Dabei gibt die Malware folgende Nachricht aus:

http://www.trojaner-board.de/attachm...1&d=1334749159


Der Nutzer wird darüber informiert, dass sein PC blockiert wurde und er 920 Hryvnia (ukrainische Währung) zu zahlen hat. Nach der Zahlung erhält er einen Code, mit dem er das System entsperren kann. Dieser Code befindet sich im Schädling selbst. Sobald er ausgeführt wurde, wird die MBR-Routine entfernt.
Diese neue Variante zeigt leider, dass noch kein Ende dieser Art von Angriffen in Sicht ist. Letzten Februar hatten Angreifer die Website des französischen Bekleidungsshops Ladurée kompromittiert, sodass alle Besucher der Site ebenfalls mit dem Trojaner TROJ_RANSOM.BOV infiziert wurden. Die damals eingesetzte Variante gab sich als nationale französische Gendarmerie aus und forderte in deren Namen eine Zahlung. Ähnliche Angriffe gab es auch im Namen der Polizei in Italien, Deutschland, Belgien und Spanien.




via Ransomware kapert den MBR » blog.trendmicro.de


Probleme mit TROJ_RANSOM.AQB ?
Wir helfen Dir: Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?