Mit Carlos Santana verbinde ich persönlich gute Musik, die ich seit meiner Jugend höre. Streicht man ein "n", wird das Ganze zu Satana (Satan), dem Namen einer neuen Ransomware, die nicht nur Dokumente verschlüsselt, sondern nach getaner Arbeit das Booten des Betriebssystems blockiert.
Anzeige
Eigentlich könnte ich täglich über neue Ransomware-Angriffe berichten – und es gibt eine Menge Artikel im Blog. Sicherheitsforscher von Kaspersky berichten im Blog-Beitrag Satana: Ransomware from hell über einen neu gefundenen Schädling. Satana steht für Satan, was laut Kaspersky aus dem Russischen abgeleitet wurde.
Die Ransomware Satana scant alle Laufwerke und Netzwerkfreigaben und versucht Dateien mit den Erweiterungen .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas und .asm zu verschlüsseln. Vor dem Namen jeder verschlüsselten Datei wird eine E-Mail Adresse mit drei Unterstrichen gestellt (die Datei Sarah_G@ausi.com___test.jpg ist die verschlüsselte Variante von test.jpg).
(Quelle: Kaspersky)
Die E-Mail-Adresse dient den Opfern zur Kontaktaufnahme mit den Erpressern, um die Entschlüsselungsinformationen anzufordern. Laut Kaspersky werden bisher sechs E-Mail-Adressen von der Ransomware verwendet. Satana fordert 0,5 Bitcoins (ca. 305 Euro) vom Opfer für diese Informationen.
Gleichzeitig tauscht die Malware den Bootrecord (MBR) der Festplatte aus und verhindert so, dass sich die Maschine mit Windows booten lässt. Diesen Mechanismus kennt man vom Trojaner Petya. Offenbar gibt es aber bereits Anweisungen, wie man die Boot-Blockade aufheben kann. Detailliertere Anweisungen hat man bei Windows Club im Blog veröffentlicht. Man kann aber auch die Anweisungen in meinem Blog-Beitrag Windows 10-Upgrade liefert Fehler 0xD0000225 zur Reparatur des MBR verwenden.
Leider besteht bisher keine Möglichkeit, im wieder bootenden Betriebssystem die verschlüsselten Dateien zu entschlüsseln. Bisher ist Satana noch nicht allzu weit verbreitet und der Code enthält Schwachstellen, die Sicherheitsforscher als Ansatz zum Aushebeln verwenden könnten. Aber mal schauen, ob das Teil weiter entwickelt wird. Die Verbreitung könnte über Exploit-Kits und E-Mail-Anhänge passieren.
Ähnliche Artikel
Ransomware-Alarm: Petya kommt mit Mischa im Beipack
Nice: Petya-Verschlüsselung geknackt, Hilfe für Opfer
6 gratis Entschlüsselungs-Tools für Ransomware-Opfer
2015
„Leider besteht bisher keine Möglichkeit, im wieder bootenden Betriebssystem die verschlüsselten Dateien zu entschlüsseln." – Die einzige Abwehrmaßnahme, die in solchen Fällen greift, ist ein Backup auf einem externen Datenträger, von dem sich die verschlüsselten Dateien wiederherstellen lassen. Man kann es nicht oft genug sagen: Wer bislang auf eine Sicherung von System und Daten verzichtet hat, sollte das dringend nachholen – heute, jetzt.
Dann aber besser die Sicherungen nicht nur auf einer lokal erreichbaren Festplatte ablegen. Man sollte sie auch nicht als zip-Datei oder als eine sonst weit verbreiteten Dateiart sichern.
Pingback: Ransom ware: #Satana, greetings from hell … | Born's Tech and Windows World
Also ich denke, wenn das Kind in den Brunnen gefallen ist. Alle Platten
die im Rechner sind, komplett formatieren. Danach das Image von Windows
zurück auf "C" (sollte man unbedingt besitzen) und dann den Rest (privates)
auf die vorher formatierten Platten zurück.
Natürlich rede ich hier von einer Externen, die nicht angeschlossen sein
darf. Ist sie doch angeschlossen, wird selbige auch verschlüsselt/verseucht.
:-(
Nur MBR betroffen? Dann wäre man mit EFI GPT ja möglicherweise nur halb betroffen.
Oder vielleicht gar nicht? Einige, grad ältere, Verschlüsselungsprogramme haben ja grundsätzlich ihre Probleme mit GPT partitionierten Systemen.