DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

«Snatch»: Dieser Windows-Schädling kann dein Antivirus-Programm austricksen

Mithilfe von Antivirensoftware können sich Nutzer vor den meisten Gefahren schützen. Doch jetzt warnen Experten vor einer speziellen Malware.



Ein Artikel von

T-Online

Das Wichtigste in Kürze: Eine neue Ransomware für Windows-Betriebssysteme startet PCs im abgesicherten Modus, um Schutzmechanismen auszuhebeln.

Windows-Nutzer sollten sich derzeit vor dem Erpressungstrojaner «Snatch» hüten. Denn eine neue Version des Programms zwingt das infizierte System dazu, im abgesicherten Modus zu starten. Im Anschluss verschlüsselt «Snatch» Nutzerdaten und verlangt ein Lösegeld. Das berichtet das Sicherheitsunternehmen Sophos auf seiner Website.

Der abgesicherte Modus unter Windows wird oft dazu verwendet, um Fehler im System zu finden. In diesem Modus startet Windows darum nur die wichtigsten Treiber. Programme wie Antivirensoftware bleibt oft ausgeschaltet. Diese Lücke macht sich «Snatch» zunutze.

Warum «Snatch»?

«Snatch» tarnt sich auf dem infizierten Rechner als Windows-Dienst «SuperBackupMan», schreibt Sophos. Sobald sich der das Programm in der Registry eingenistet hat, startet das System in den abgesicherten Modus.

Bevor «Snatch» aber Dateien verschlüsselt und eine Lösegeldforderung anzeigt, löscht es sogenannte Schattenkopien des Windows-Systems. Bei der Funktion erstellt Windows im Hintergrund Kopien wichtiger Daten, so dass Nutzer im Notfall diese mit wenig Aufwand wiederherstellen können.

Bild

Kein Zufall scheine der Name «Snatch» zu sein, schreibt Sophos im deutschsprachigen Firmenblog. In frühen Versionen der Ransomware finde sich im Erpressungsschreiben die Email-Adresse «ImBoristheBlade(at)protonmail.com». Dies könnte eine Referenz an den Film «Snatch» mit Brad Pitt aus dem Jahr 2000 sein, in dem ein KGB-Agentencharakter namens Boris the Blade mit von der Partie sei. Und auch der von den Hackern im Dark Web genutzte Deckname Bullet Tooth Tony tauche im selben Film auf. bild: shutterstock

Wer ist gefährdet?

Laut Sophos wurde der Erpressungstrojaner in Googles Programmiersprache Go entwickelt, die für verschiedene Plattformen verwendet kann. Allerdings sei laut Sophos «die Schadsoftware , die wir beobachtet haben, nicht in der Lage, auf anderen Plattformen ausser Windows zu laufen.» Das Unternehmen schreibt, dass «Snatch» auf den Windows-Versionen 7 bis 10 funktionieren soll.

In seinem Bericht dokumentierte Sophos einen Angriff auf das Netzwerk eines Unternehmens. Attacken auf Privatwender sind bisher noch nicht bekannt. Laut Sophos hat das Unternehmen «Snatch» bereits 2018 entdeckt. Die jetzt beobachtete Angriffsmethode war damals aber noch nicht implementiert.

Quellen:

(avr/t-online.de)

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Die bösartigsten Computer-Attacken aller Zeiten

1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Zu viel am Handy? Dr. Watson weiss, woran du leidest

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Anonymous «hackt» Coronaverharmloser – diese erhalten nun Post von den Hackern

Schlag von Anonymous-Aktivisten gegen die organisierte Szene der Coronaverharmloser: Das Hacker-Kollektiv ist an die Daten der mehr als 10'000 Mitglieder der deutschen Partei «dieBasis» gelangt.

Die aus der Querdenker-Szene hervorgegangene Partei «dieBasis» ist gehackt worden: Die Gruppe Anonymous ist offenbar an die Daten aller Mitglieder gelangt. «dieBasis hat ein Problem: uns», erklärt das Hackerkollektiv. Die Daten sind offenbar echt. Der deutsche watson-Medienpartner t-online hat Einblick bekommen und Stichproben prüfen können. Anonymous kündigte weitere Veröffentlichungen und Auswertungen an. Es ist aber nicht damit zu rechnen, dass Anonymous die Daten einfacher …

Artikel lesen
Link zum Artikel