Skip to content
Dealers-Only
Main Navigation
  • AKTUELLES
  • PRODUKTE
  • SOLUTIONS
  • Unternehmen
  • Events
  • Top-Themen
  • CAD NEWS
HTML tutorial

Sophos informiert: Mamba Ransomware verschlüsselt nicht nur Dateien, sondern ganze Festplatten

Die neue Ransomware Mamba setzt auf eine Raubkopie der Open Source Software DiskCryptor und macht Betroffenen das Leben besonders schwer

Die gute Nachricht zuerst: Diese Mamba wurde bisher noch nicht in der freien Wildbahn gesichtet. Anders als ihre bissige Namensgeberin vermuten lässt ist sie weder besonders gut gemacht noch wirklich zuverlässig.

Die schlechte Nachricht: Anders als andere Ransomware-Formen, die sich auf Dateien beschränken, verschlüsselt Mamba die gesamte Festplatte. Und es kommt noch schlimmer: Zeigen sich Betroffene sogar zahlungswillig ist es dennoch unwahrscheinlich, dass die Festplatte jemals wieder entschlüsselt werden kann. Dennoch ist Mamba interessant, denn ihre Schöpfer sind offenbar noch in der Test-Phase, auf der Suche nach etwas Neuem. Das Geschäftsmodell der Cyber-Kriminellen kann zum heutigen Zeitpunkt noch nicht genau erklärt werden. Es gibt bereits eine Ransomware, die ähnlich arbeitet, genannt Petya. Sie verschlüsselt den Master-Index der Festplatte (auch Master File Table oder MFT genannt) und informiert die Verbraucher über einen Boot-Bildschirm im 1990er Jahre-Look darüber, wie sie sich aus ihrer misslichen Lage herauskaufen können. Rebooting? Fehlanzeige. Petya belässt zwar den Großteil der Rohdaten unverschlüsselt auf Sektorebene – allerdings außer Reichweite.

Mamba geht einen Schritt weiter: sie kriecht in jeden Sektor der Festplatte inklusive MFT, Betriebssystem, Anwendungen, freigegebene und persönlichen Daten. Dabei kommt Mamba mit sehr geringem Programmieraufwand aus: die Malware installiert und aktiviert eine Raubkopie der Open-Source-Software DiskCryptor.

Wie Mamba infiziert

Verbraucher sollten sorgfältig prüfen, welche E-Mails sie öffnen – besonders dann, wenn es nach den üblichen Dokumenten aussieht: Rechnungen, Bestellbestätigungen, Zahlungsaufforderungen, Anfragen und so weiter. Wird eine infizierte Datei versehentlich geöffnet, passiert zuerst nicht viel: Mamba fragt, ob eine App eines unbekannten Entwicklers installiert werden darf. Nach einer Weile rebootet der Rechner. Vor dem Neustart installiert sich Mamba heimlich als Windows-Dienst mit dem Namen Defragmentation Service, ausgestattet mit lokalen Systemprivilegien. Malware, die als LocalSystem-Dienst ausgeführt wird, ist auch ohne Anmeldung aktiv, läuft unsichtbar vom Windows-Desktop und hat eine nahezu vollständige Kontrolle über den lokalen Computer. Nach dem Neustart installiert sich DiskCryptor im Hintergrund, zu finden im Verzeichnis C unter dem Namen C:\DC22. Der nächste Reboot des Computers erfolgt nicht automatisch, so dass alle Dateien noch verfügbar sind, das DiskCryptor Protokoll enthält sogar das Passwort im Klartext. Normalerweise ist Skepsis angesagt bei Software, die vetrauliche Daten wie Passwörter in Klartext-Log-Dateien ablegt. In diesem Fall kann es die Rettung sein: Verbraucher können die Option Decrypt im DCRYPT Dienstprogramm nutzen, um die Verschlüsselung mit Hilfe des Passworts rückgängig zu machen. Dies natürlich nur, wenn die Hintergrundverschlüsselung überhaupt bemerkt wurde. Wenn nicht, kommt die böse Überraschung samt Zahlungsaufforderung nach dem nächsten Reboot. Leider wurde DiskCryptor in den vergangenen zwei Jahren kaum weiterentwickelt und ist mit den meisten aktuellen Windows-Versionen nicht mehr kompatibel. Auf jedem unterstützten Mac findet sich eine Disk im GPT-Format, gleiches gilt für die neueren Windows-Computer.. In diesem Fall installiert sich DiskCryptor dennoch, funktioniert aber nicht wie gewünscht. Nach dem Reboot ist nicht einmal die Zahlungsaufforderung sichtbar. Und auch bei einigen älteren Festplatten war „Missing Operation System“ die letzte Nachricht.

Das größste Problem ist allerdings, dass in diesem Fall eine Entschlüsselung der Daten auch mit vorhandenem Key nicht möglich ist.

Was zu tun ist

„Wir empfehlen im Falle von Ransomware nicht zu zahlen, auch wenn es sich um private Daten mit womöglich einem hohen ideellen Wert handelt oder Firmendaten, die aufwändig neu beschafft werden müssen“, so Sascha Pfeiffer. „Womöglich müssen sich Betroffene mit dem Verlust der Daten abfinden und eine Neuinstallation vornehmen. Es gibt noch keine gesicherten Erkenntnisse dazu, wie die Gauner mit dem Erpressungsvorgang umgehen und ob die Daten wieder freigegeben werden. Am besten ist jedoch eine gute AV-Lösung, um die Schädlinge gleich von Anfang an abzuwehren. Es gibt eine Fülle guter Sicherheitslösungen sowohl für Unternehmen als auch für Privatanwender. Beispielsweise Sophos Home, eine kostenlose Sicherheitslösung für den Privatgebrauch auf Enterprise-Niveau. Keinen Schutz zu installieren, ist schlicht nicht mehr zeitgemäß.“

Post navigation

Störerhaftung bei freiem WLAN entfällt
Samsung Gear VR: virtuelle Zeitreise in die Geschichte des berühmten Städel Museums Frankfurt

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.

Neueste Beiträge

  • 25 Jahre USB-Stick: Vom Datenspeicher zum OT-Inspektor

Author’s Posts

  • Unified-Communications-Experte Tom Puorro geht zu Plantronics
    Januar 3, 2019 No Comment
  • WORTMANN AG ehrt langjährige Mitarbeiter
    Januar 7, 2019 No Comment
  • Avision präsentiert sein DMS-System “PaperAir” auf der Systeams Hausmesse Inform 2018
    September 20, 2018 No Comment
  • Bitkom zu den geplanten neuen Regeln für Arbeitsverträge auf Papier
    Juni 17, 2022 No Comment
  • Tech Data und Lenovo suchen „Starke Typen“, die Lust auf ein Survival-Trainingscamp haben
    Januar 7, 2019 No Comment

Schlagwörter

Cloud Design Digital Signage Display Displays Drucker Drucklösungen Fotografie Gamescom Gaming Hardware Home Office IFA ISE Komponenten Kopfhörer Messe Mobile Communication Monitor Netzwerk Netzwerklösungen Notebook Notebooks personen Produktnews Projektoren Roadshow Scanner Security Server Smart Home Smartphone Software Sound Speicherlösungen Speichertechnologie Storage Telekommunikation Termine Unternehmen Unternehmensnews Vertriebspartner VPN WLAN Zubehör

  • Kontakt
  • Impressum
  • AGB
  • Datenschutz
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
Cookie settingsACCEPT
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Notwendig
immer aktiv

Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.

Nicht notwendig

Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.