Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

«Snatch»: Dieser Windows-Schädling kann dein Antivirus-Programm austricksen

Mithilfe von Antivirensoftware können sich Nutzer vor den meisten Gefahren schützen. Doch jetzt warnen Experten vor einer speziellen Malware.



Ein Artikel von

T-Online

Das Wichtigste in Kürze: Eine neue Ransomware für Windows-Betriebssysteme startet PCs im abgesicherten Modus, um Schutzmechanismen auszuhebeln.

Windows-Nutzer sollten sich derzeit vor dem Erpressungstrojaner «Snatch» hüten. Denn eine neue Version des Programms zwingt das infizierte System dazu, im abgesicherten Modus zu starten. Im Anschluss verschlüsselt «Snatch» Nutzerdaten und verlangt ein Lösegeld. Das berichtet das Sicherheitsunternehmen Sophos auf seiner Website.

Der abgesicherte Modus unter Windows wird oft dazu verwendet, um Fehler im System zu finden. In diesem Modus startet Windows darum nur die wichtigsten Treiber. Programme wie Antivirensoftware bleibt oft ausgeschaltet. Diese Lücke macht sich «Snatch» zunutze.

Warum «Snatch»?

«Snatch» tarnt sich auf dem infizierten Rechner als Windows-Dienst «SuperBackupMan», schreibt Sophos. Sobald sich der das Programm in der Registry eingenistet hat, startet das System in den abgesicherten Modus.

Bevor «Snatch» aber Dateien verschlüsselt und eine Lösegeldforderung anzeigt, löscht es sogenannte Schattenkopien des Windows-Systems. Bei der Funktion erstellt Windows im Hintergrund Kopien wichtiger Daten, so dass Nutzer im Notfall diese mit wenig Aufwand wiederherstellen können.

Bild

Kein Zufall scheine der Name «Snatch» zu sein, schreibt Sophos im deutschsprachigen Firmenblog. In frühen Versionen der Ransomware finde sich im Erpressungsschreiben die Email-Adresse «ImBoristheBlade(at)protonmail.com». Dies könnte eine Referenz an den Film «Snatch» mit Brad Pitt aus dem Jahr 2000 sein, in dem ein KGB-Agentencharakter namens Boris the Blade mit von der Partie sei. Und auch der von den Hackern im Dark Web genutzte Deckname Bullet Tooth Tony tauche im selben Film auf. bild: shutterstock

Wer ist gefährdet?

Laut Sophos wurde der Erpressungstrojaner in Googles Programmiersprache Go entwickelt, die für verschiedene Plattformen verwendet kann. Allerdings sei laut Sophos «die Schadsoftware , die wir beobachtet haben, nicht in der Lage, auf anderen Plattformen ausser Windows zu laufen.» Das Unternehmen schreibt, dass «Snatch» auf den Windows-Versionen 7 bis 10 funktionieren soll.

In seinem Bericht dokumentierte Sophos einen Angriff auf das Netzwerk eines Unternehmens. Attacken auf Privatwender sind bisher noch nicht bekannt. Laut Sophos hat das Unternehmen «Snatch» bereits 2018 entdeckt. Die jetzt beobachtete Angriffsmethode war damals aber noch nicht implementiert.

Quellen:

(avr/t-online.de)

Die bösartigsten Computer-Attacken aller Zeiten

Zu viel am Handy? Dr. Watson weiss, woran du leidest

Play Icon

Mehr zu Sicherheitslücken und Malware

Neue Sicherheitslücke in Intel-Prozessoren bedroht Windows-Geräte

Link zum Artikel

Google enthüllt sechs Sicherheitslücken in iOS – das solltest du wissen

Link zum Artikel

«GermanWiper»: Deutschland warnt vor zerstörerischem Trojaner, der alle Daten löscht

Link zum Artikel

Kantonspolizei Zürich warnt vor Erpressungssoftware

Link zum Artikel

Windows 7 nähert sich Support-Ende – ab 2020 wirds gefährlich

Link zum Artikel

Wer eine dieser 13 Apps installiert hat, hat ein Malware-Problem!

Link zum Artikel

Neue Malware-Welle erreicht die Schweiz – so wollen dich die Hacker übers Ohr hauen

Link zum Artikel

Swisscom warnt vor Fake-Rechnungen – es lauert ein Windows-Trojaner

Link zum Artikel

Porndroid: Diese Trojaner-App erpresst Android-Nutzer mit Kinderpornos

Link zum Artikel
Alle Artikel anzeigen

Mehr zu Sicherheitslücken und Malware

Neue Sicherheitslücke in Intel-Prozessoren bedroht Windows-Geräte

2
Link zum Artikel

Google enthüllt sechs Sicherheitslücken in iOS – das solltest du wissen

34
Link zum Artikel

«GermanWiper»: Deutschland warnt vor zerstörerischem Trojaner, der alle Daten löscht

12
Link zum Artikel

Kantonspolizei Zürich warnt vor Erpressungssoftware

10
Link zum Artikel

Windows 7 nähert sich Support-Ende – ab 2020 wirds gefährlich

10
Link zum Artikel

Wer eine dieser 13 Apps installiert hat, hat ein Malware-Problem!

5
Link zum Artikel

Neue Malware-Welle erreicht die Schweiz – so wollen dich die Hacker übers Ohr hauen

5
Link zum Artikel

Swisscom warnt vor Fake-Rechnungen – es lauert ein Windows-Trojaner

16
Link zum Artikel

Porndroid: Diese Trojaner-App erpresst Android-Nutzer mit Kinderpornos

0
Link zum Artikel

Mehr zu Sicherheitslücken und Malware

Neue Sicherheitslücke in Intel-Prozessoren bedroht Windows-Geräte

2
Link zum Artikel

Google enthüllt sechs Sicherheitslücken in iOS – das solltest du wissen

34
Link zum Artikel

«GermanWiper»: Deutschland warnt vor zerstörerischem Trojaner, der alle Daten löscht

12
Link zum Artikel

Kantonspolizei Zürich warnt vor Erpressungssoftware

10
Link zum Artikel

Windows 7 nähert sich Support-Ende – ab 2020 wirds gefährlich

10
Link zum Artikel

Wer eine dieser 13 Apps installiert hat, hat ein Malware-Problem!

5
Link zum Artikel

Neue Malware-Welle erreicht die Schweiz – so wollen dich die Hacker übers Ohr hauen

5
Link zum Artikel

Swisscom warnt vor Fake-Rechnungen – es lauert ein Windows-Trojaner

16
Link zum Artikel

Porndroid: Diese Trojaner-App erpresst Android-Nutzer mit Kinderpornos

0
Link zum Artikel

Abonniere unseren Newsletter

6
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
6Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Dani B. 12.12.2019 22:22
    Highlight Highlight Ist mir alles zu hoch.
    Ich weiss nicht mal, was ein "Privatwender" ist. --- So ein Küchenteil???
  • Walter Sahli 11.12.2019 22:10
    Highlight Highlight Hab' ich's überlesen oder schreibt Ihr tatsächlich kein Wort darüber, wie man sich diesen Trojaner einfängt?
    Wenn das schon alle wüssten, würde sich das Ding nicht verbreiten...
    • @schurt3r 12.12.2019 14:13
      Highlight Highlight Berechtigter Hinweis, bzw. Einwand, danke!

      Es dürfte sich um die übliche Angriffsmethode über gefälschte/manipulierte E-Mails handeln.

      Im Video wird gezeigt, wie eine Datei "shutdown.exe" gestartet wird und daraufhin der Computer im Safe Mode neu gestartet wird. Dann schreitet Snach zur Tat und verschlüsselt Daten.
  • Nando333 11.12.2019 21:12
    Highlight Highlight Danke für die Info. Ich vermisse aber den Teil der beschreibt wie die Ransoftware auf den Rechner gelangen kann.
    Vermutlich aber wie üblich per E-Mail, als Anhang oder Phishing Link.

Das steckt hinter den merkwürdigen Paket-SMS, die gerade Tausende Schweizer erhalten

SMS, die über den Lieferstatus bestellter Waren informieren, sind praktisch. Doch aktuell versenden Betrüger massenhaft Fake-SMS im Namen von Paketdiensten. Sie haben es auf Kreditkartennummern abgesehen – und locken die Opfer in eine Abofalle.

Schweizer Smartphone-Nutzer werden von einer neuen Phishing-Welle heimgesucht: Kriminelle versenden grossflächig betrügerische Fake-SMS im Namen von Paketlieferdiensten wie DHL oder FedEx. In den Kurznachrichten ist von einem unzustellbaren Paket die Rede. Die Sendung sei im Verteilzentrum angehalten worden. Am Ende der Nachricht folgt ein Link, mit dem man den Sendestatus verfolgen könne.

Der genaue Wortlaut und der Kurzlink, also die abgekürzte Internetadresse in der Phishing-SMS, können von …

Artikel lesen
Link zum Artikel