wechselnd bewölkt
DE | FR
burger
Digital
Microsoft

«Snatch»: Windows-Schädling kann dein Antivirus-Programm austricksen

«Snatch»: Dieser Windows-Schädling kann dein Antivirus-Programm austricksen

Mithilfe von Antivirensoftware können sich Nutzer vor den meisten Gefahren schützen. Doch jetzt warnen Experten vor einer speziellen Malware.
11.12.2019, 17:26
Mehr «Digital»
Ein Artikel von
t-online

Das Wichtigste in Kürze: Eine neue Ransomware für Windows-Betriebssysteme startet PCs im abgesicherten Modus, um Schutzmechanismen auszuhebeln.

Windows-Nutzer sollten sich derzeit vor dem Erpressungstrojaner «Snatch» hüten. Denn eine neue Version des Programms zwingt das infizierte System dazu, im abgesicherten Modus zu starten. Im Anschluss verschlüsselt «Snatch» Nutzerdaten und verlangt ein Lösegeld. Das berichtet das Sicherheitsunternehmen Sophos auf seiner Website.

Der abgesicherte Modus unter Windows wird oft dazu verwendet, um Fehler im System zu finden. In diesem Modus startet Windows darum nur die wichtigsten Treiber. Programme wie Antivirensoftware bleibt oft ausgeschaltet. Diese Lücke macht sich «Snatch» zunutze.

Warum «Snatch»?

«Snatch» tarnt sich auf dem infizierten Rechner als Windows-Dienst «SuperBackupMan», schreibt Sophos. Sobald sich der das Programm in der Registry eingenistet hat, startet das System in den abgesicherten Modus.

Bevor «Snatch» aber Dateien verschlüsselt und eine Lösegeldforderung anzeigt, löscht es sogenannte Schattenkopien des Windows-Systems. Bei der Funktion erstellt Windows im Hintergrund Kopien wichtiger Daten, so dass Nutzer im Notfall diese mit wenig Aufwand wiederherstellen können.

Kein Zufall scheine der Name «Snatch» zu sein, schreibt Sophos im deutschsprachigen Firmenblog. In frühen Versionen der Ransomware finde sich im Erpressungsschreiben die Email-Adresse «ImBoristheBlade ...
Kein Zufall scheine der Name «Snatch» zu sein, schreibt Sophos im deutschsprachigen Firmenblog. In frühen Versionen der Ransomware finde sich im Erpressungsschreiben die Email-Adresse «ImBoristheBlade(at)protonmail.com». Dies könnte eine Referenz an den Film «Snatch» mit Brad Pitt aus dem Jahr 2000 sein, in dem ein KGB-Agentencharakter namens Boris the Blade mit von der Partie sei. Und auch der von den Hackern im Dark Web genutzte Deckname Bullet Tooth Tony tauche im selben Film auf.bild: shutterstock

Wer ist gefährdet?

Laut Sophos wurde der Erpressungstrojaner in Googles Programmiersprache Go entwickelt, die für verschiedene Plattformen verwendet kann. Allerdings sei laut Sophos «die Schadsoftware , die wir beobachtet haben, nicht in der Lage, auf anderen Plattformen ausser Windows zu laufen.» Das Unternehmen schreibt, dass «Snatch» auf den Windows-Versionen 7 bis 10 funktionieren soll.

In seinem Bericht dokumentierte Sophos einen Angriff auf das Netzwerk eines Unternehmens. Attacken auf Privatwender sind bisher noch nicht bekannt. Laut Sophos hat das Unternehmen «Snatch» bereits 2018 entdeckt. Die jetzt beobachtete Angriffsmethode war damals aber noch nicht implementiert.

Quellen:

(avr/t-online.de)

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Themen
Die bösartigsten Computer-Attacken aller Zeiten
1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Der Lösegeld-Trojaner «WannaCry» geht als bislang grösste Ransomware-Attacke in die IT-Annalen ein. Früher war aber nicht alles besser, im Gegenteil! Wir zeigen dir eine Auswahl der schlimmsten Malware-Attacken ...
Auf Facebook teilenAuf X teilen
Zuviel am Handy? Dr. Watson weiss, woran du leidest
Video: watson
Das könnte dich auch noch interessieren:
6 Kommentare
Zum Login
user avatar
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Walter Sahli
11.12.2019 22:10registriert März 2014
Hab' ich's überlesen oder schreibt Ihr tatsächlich kein Wort darüber, wie man sich diesen Trojaner einfängt?
Wenn das schon alle wüssten, würde sich das Ding nicht verbreiten...
640
Melden
Zum Kommentar
avatar
Heiliger Hein
11.12.2019 21:12registriert Oktober 2019
Danke für die Info. Ich vermisse aber den Teil der beschreibt wie die Ransoftware auf den Rechner gelangen kann.
Vermutlich aber wie üblich per E-Mail, als Anhang oder Phishing Link.
560
Melden
Zum Kommentar
6
Meistgelesen
1
Von der grössten Innovation der Firmengeschichte zum Flop: Migros stoppt Kaffee-Expansion
2
Das ist der günstigste Supermarkt in der Schweiz
3
«Wenn das ein Experiment wäre, hätte ich zuerst an einen Messfehler geglaubt»
4
Nach gigantischem Bergsturz im Engadin: «Der ganze Tschierva-Gletscher ist abrasiert»
5
«Du bist so dick, ich muss in den Thurgau kehren gehen, damit ich an dir vorbeikomme»
Meistkommentiert
1
Hexenjagd christlicher Fundis auf einen schwulen Lehrer
2
Zoff im Bundesrat: Jans und Rösti streiten sich wegen Strassburger Klima-Urteil
3
Schwuler Lehrer musste Primarschule in Pfäffikon ZH verlassen – die Chronologie
4
«Halten Sie den Schnauf für nachher!» – in der Klima-«Arena» stösst Brotz an seine Grenzen
5
Antworten auf eure Fragen
Meistgeteilt
1
Für Gretzkys Abschied wird sogar die kanadische Nationalhymne umgetextet
2
Bei Diego Maradona staunen sogar die Gegner, wenn er sich aufwärmt
3
Der «Pink Moon» im April: 13 spannende Fakten zum Vollmond
4
«Experte» Micah Richards macht beim Tippen einen auf Schalke: 0/4
5
Servette-Frauen holen Cupsieg +++ Duplantis startet mit Weltrekord in die Saison
Bitcoin bald bei 100'000 Dollar? 11 Fragen und Antworten zum anstehenden Halving

Bitcoin-Halving hier, Bitcoin-Halving dort. Mittlerweile kommen auch Laien nicht mehr am Gerede des anstehenden Events vorbei. Doch worum geht es dabei?

Zur Story