Notebookcheck Logo

Windows-Ransomware nutzt den Abgesicherten Modus, um Windows-Verteidigung auszuhebeln

Windows-Ransomware nutzt den Abgesicherten Modus, um Windows-Verteidigung auszuhebeln
Windows-Ransomware nutzt den Abgesicherten Modus, um Windows-Verteidigung auszuhebeln
Ein Sicherheitsteam hat einer neuen Ransomware nachgespürt. Diese crasht den PC und erzwingt beim anschließenden Neustart das Booten im Abgesicherten Modus. Dadurch umgeht die Schadsoftware Antivirusprogramme und andere Verteidigungsmechanismen von Windows.

Die Sicherheitsforscher des Sophos-Teams haben entdeckt, dass die Ransomware Snatch eine Schwachstelle in Windows ausnutzt, um dessen Verteidigungsmechanismen zu umgehen. Snatch läuft auf allen gängigen Windows-Versionen, sowohl in 32- als auch 64-Bit.

Der Schadcode lässt den Computer abstürzen und bootet anschließend in den Abgesicherten Modus. Hier sind nur wenige Anwendungen und Dienste geladen, Antiviren-Software oder Windows Defender sind nicht aktiv.

Dadurch hat Snatch leichtes Spiel, startet automatisch als Service und nutzt den Freiraum, um den kompletten PC zu verschlüsseln. Anschließend fordern die Macher eine Lösegeldsumme in der Kryptowährung Bitcoin, welche zwischen 2.900 und 51.000 US-Dollar liegen soll.

Gefährlich wird die Software vor allem Unternehmen. Daher empfiehlt Sonos insbesondere die Remote-Desktop-Funktion niemals über das ungesicherte Internet sichtbar zu machen. Wenn die Funktion gebraucht wird, sollte sie hinter einem VPN gesichert werden. Angeblich heuern die Angreifer Programmierer an, welche sich mit anderen Remote-Tools wie VNC oder TeamViewer  auskennen, auch hier sollte man besser die Finger von den Programmen lassen. Auch SQL-Server stellen wohl ein Risiko dar. Eine weitere Empfehlung stellt die Implementation einer Multi-Faktoren-Autthentifizierung zumindest für Administratoren dar.

Quelle(n)

static version load dynamic
Loading Comments
Diesen Artikel kommentieren / Antworten
Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!
> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2019-12 > Windows-Ransomware nutzt den Abgesicherten Modus, um Windows-Verteidigung auszuhebeln
Autor: Christian Hintze, 12.12.2019 (Update: 12.12.2019)