Neue Erpresser-Software

Mamba Ransomware verschlüsselt ganze Festplatte

| Redakteur: Peter Schmitz

Die neue Ransomware Mamba kriecht in jeden Sektor der Festplatte inklusive MFT, Betriebssystem, Anwendungen, freigegebene und persönlichen Daten und verschlüsselt die gesamte Festplatte.
Die neue Ransomware Mamba kriecht in jeden Sektor der Festplatte inklusive MFT, Betriebssystem, Anwendungen, freigegebene und persönlichen Daten und verschlüsselt die gesamte Festplatte. (Bild: Foto-Rabe - Pixelio / CC0)

Die neue Ransomware Mamba setzt auf eine Raubkopie der Open Source Software DiskCryptor und verschlüsselt statt einzelner Dtaeien gleich die ganze Festplatte. Die Malware scheint noch in der Entwicklung und findet sich erst vereinzelt in der freien Wildbahn, betonen Sicherheitsexperten von Sophos.

Die Schöpfer der Malware sind offenbar noch in der Test-Phase, auf der Suche nach etwas Neuem. Das Geschäftsmodell der Cyber-Kriminellen kann zum heutigen Zeitpunkt noch nicht genau erklärt werden. Anders als andere Ransomware-Formen, die sich auf Dateien beschränken, verschlüsselt Mamba die gesamte Festplatte. Zeigen sich Betroffene zahlungswillig ist es dennoch unwahrscheinlich, dass die Festplatte jemals wieder entschlüsselt werden kann.

Es gibt bereits eine Ransomware, die ähnlich arbeitet, genannt Petya. Sie verschlüsselt den Master-Index der Festplatte (auch Master File Table oder MFT genannt) und informiert die Verbraucher über einen Boot-Bildschirm im 1990er Jahre-Look darüber, wie sie sich aus ihrer misslichen Lage herauskaufen können. Rebooting? Fehlanzeige. Petya belässt zwar den Großteil der Rohdaten unverschlüsselt auf Sektorebene – allerdings außer Reichweite.

Mamba geht einen Schritt weiter: sie kriecht in jeden Sektor der Festplatte inklusive MFT, Betriebssystem, Anwendungen, freigegebene und persönlichen Daten. Dabei kommt Mamba mit sehr geringem Programmieraufwand aus: die Malware installiert und aktiviert eine Raubkopie der Open-Source-Software DiskCryptor.

Wie Mamba infiziert

Verbraucher sollten sorgfältig prüfen, welche E-Mails sie öffnen – besonders dann, wenn es nach den üblichen Dokumenten aussieht: Rechnungen, Bestellbestätigungen, Zahlungsaufforderungen, Anfragen und so weiter.

Wird eine infizierte Datei versehentlich geöffnet, passiert zuerst nicht viel: Mamba fragt, ob eine App eines unbekannten Entwicklers installiert werden darf. Nach einer Weile rebootet der Rechner. Vor dem Neustart installiert sich Mamba heimlich als Windows-Dienst mit dem Namen Defragmentation Service, ausgestattet mit lokalen Systemprivilegien.

Malware, die als LocalSystem-Dienst ausgeführt wird, ist auch ohne Anmeldung aktiv, läuft unsichtbar vom Windows-Desktop und hat eine nahezu vollständige Kontrolle über den lokalen Computer. Nach dem Neustart installiert sich DiskCryptor im Hintergrund, zu finden im Verzeichnis C unter dem Namen C:\DC22. Der nächste Reboot des Computers erfolgt nicht automatisch, so dass alle Dateien noch verfügbar sind, das DiskCryptor Protokoll enthält sogar das Passwort im Klartext.

Normalerweise ist Skepsis angesagt bei Software, die vertrauliche Daten wie Passwörter in Klartext-Log-Dateien ablegt. In diesem Fall kann es die Rettung sein: Verbraucher können die Option Decrypt im DCRYPT Dienstprogramm nutzen, um die Verschlüsselung mit Hilfe des Passworts rückgängig zu machen. Dies natürlich nur, wenn die Hintergrundverschlüsselung überhaupt bemerkt wurde. Wenn nicht, kommt die böse Überraschung samt Zahlungsaufforderung nach dem nächsten Reboot.

Leider wurde DiskCryptor in den vergangenen zwei Jahren kaum weiterentwickelt und ist mit den meisten aktuellen Windows-Versionen nicht mehr kompatibel. Auf jedem unterstützten Mac findet sich eine Disk im GPT-Format, gleiches gilt für die neueren Windows-Computer.. In diesem Fall installiert sich DiskCryptor dennoch, funktioniert aber nicht wie gewünscht. Nach dem Reboot ist nicht einmal die Zahlungsaufforderung sichtbar. Und auch bei einigen älteren Festplatten war „Missing Operation System“ die letzte Nachricht. Das größte Problem ist allerdings, dass in diesem Fall eine Entschlüsselung der Daten auch mit vorhandenem Key nicht möglich ist.

Was zu tun ist

„Wir empfehlen im Falle von Ransomware nicht zu zahlen, auch wenn es sich um private Daten mit womöglich einem hohen ideellen Wert handelt oder Firmendaten, die aufwändig neu beschafft werden müssen. Womöglich müssen sich Betroffene mit dem Verlust der Daten abfinden und eine Neuinstallation vornehmen.“ so Sascha Pfeiffer, Principal Security Consultant bei Sophos.

Es gibt noch keine gesicherten Erkenntnisse dazu, wie die Gauner mit dem Erpressungsvorgang umgehen und ob die Daten wieder freigegeben werden. Der beste Schutz ist aber in jedem Fall eine gute Prävention in Form einer aktuellen AV-Lösung, um die Schädlinge gleich von Anfang an abzuwehren. Es gibt eine Fülle guter Sicherheitslösungen sowohl für Unternehmen als auch für Privatanwender. Sophos Home sei als Beispiel für eine eine kostenlose Sicherheitslösung für den Privatgebrauch genannt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44296964 / Malware)