Erpresser-Malware überscheibt Master Boot Record

Supernature

Und jetzt?
Teammitglied
Unter dem Sammelbegriff "BKA-Trojaner" ist bei uns in Deutschland eine ganze Reihe von Schadprogrammen bekannt, die den Anwender nach einem Neustart mit der Meldung erschrecken, auf seinem Computer seien illegale Filme, Warez oder Kinderpornographie entdeckt worden.
Gegen Zahlung einer vermeintlichen "Geldbuße" an die Erpresser soll man sein System wieder freischalten.
In den allermeisten Fällen lässt sich der BKA-Trojaner mit vergleichsweise einfachen Mitteln beseitigen.

Unter dem Namen TROJ_RANSOM.AQB ist nun erstmals eine solche Ransomware aufgetaucht, die den Master Boot Record der Systemfestplatte überschreibt und so den Windows-Start gänzlich verhindert.
Das Lösegeld soll in diesem Fall in der ukrainischen Währung Hrywnja bezahlt werden und beträgt umgerechnet rund 90 Euro, wie Heise berichtet.

Es dürfte jedoch nicht lange dauern, ehe die ersten "lokalisierten" Versionen des Schädlings auch in Deutschland auftauchen.
Entfernen lässt sich die Erpresser-Malware durch Reparieren des MBR mit der Installations-CD des jeweiligen Windows-Systems.
 
Sorry für mein Unwissen:

Ich weiß, was der Master Boot Record ist, aber was passiert, wenn man den durch z.B. Paragon reparieren oder neu erstellen lässt?

Kann man bei so Viren den dann nicht einfach neu erstellen und die Sache ist zuende?

Oder gehen da die Daten alle verloren?
 
Soweit ich weiß, gibbet Fälle, wenn der MBR ein knacks am Paddel hat, das der MFT (Master File Table) auch geschrotet wird.
Dann kann man nur hoffen, das noch eine Sicherung existiert oder versuchen zu retten was zu retten ist mit einem File Restaurierungsprogramm
wie Ontrack Easy Recovery (Obwohl dieses Programm nicht alle Dateiordner fehlerfrei restaurieren kann).


tty.
 
Zuletzt bearbeitet:
Zu dem Thema hab ich schon ein paar Ecken im Netz abgegrast, leider wird mir als :rolleyes: sicherheitstechnischem Volldummy (also Ø-user) nichts über die weiteren Eigenschaften solcher Zeckentools gesagt. Was tue ich, wenn der Trojaner in irgendeiner Ecke meines Rechenknechts eine kleine unscheinbare Staubmilbe hinterlässt, die mir nach erfolgreicher Recovery dann halt bei einem der nächsten Restarts ein Deja-Vu beschert? :eek:
Ich habe da die Fa. *Syma...* noch in lebhafter Erinnerung. Deren angeblicher Schutz-Mist hatte sich selbst nach Formatierung und Neuaufsatz immer wieder gemeldet.
 
Ach Leute Mensch macht euer Imagebackup wie immer & lasst euch nicht aus der Ruhe bringen.
@ Digi
Mit Deiner Signatur schießt du langsam aber sicher deutlich über das Ziel hinaus.
 
Zuletzt bearbeitet:
@Rev. Bumszack:
Ohne unbescheiden wirken zu wollen, würde ich mich selbst nicht als "Volldummy" bezeichnen - und dennoch bleibt es meine erste Empfehlung, nach einem Trojaner-Befall das System neu aufzusetzen, weil das Thema einfach zu komplex ist.
Gerade, wenn ich es für jemand anderen mache, das System danach also nicht selbst noch eine Weile beobachten kann, ist mir das zu heiß.
Wenn ein Image vorhanden ist, welches ganz sicher vor dem Befall angelegt wurde, dann kann man auch dieses zurück spielen.

Was Du da am Ende des Beitrags beschreibt, klingt mir eher nach der Wiederherstellung einer Vorinstallation bei einem Komplett-PC.
Da sind natürlich alle Gratis-Zugaben, die der Hersteller freundlicherweise mit drauf gepackt hat, wieder vorhanden.
 
@Supi: Danke für die Antwort, aber meine Sorge geht in einer anderen Richtung. Selbstverständlich setze ich bei jedem Befall das System neu auf. Das habe ich auch mal vor 5 od. 6 Jahren gemacht, nachdem mir der Unsympantec Virendreck einen Befall gemeldet hatte. Alle 3 Partitionen gelöscht und Format C für die ganze Platte. Anschließend XP drauf von der Original CD. Bevor ich irgendetwas installieren konnte, fragte ein Splashscreen, ob ich Norton wieder installieren wolle. :eek:

Für mich bedeutete das, dass irgendwo noch sowas wie ein Cookie im System stecken musste. Es hat dann noch 2 weitere Versuche gedauert, bis die Rückfrage nicht mehr kam.

Meine Frage ging dahin, ob jemand diese offensichtlich vorhandene Möglichkeit mit einem Trojaner sich zu Nutze machen kann. Und was in solch einem Fall eine konkrete Maßnahme wäre. Vielleicht hat ja einer schon ähnliche Erfahrung gemacht und war z.B mit Eraser (35-fach?) erfolgreich. Bevor ich das im Ernstfall selbst probiere (das dauert bei 2x2TB!), wollte ich mal fragen, ob jemand was weiß, bzw. ob mein damaliger Verdacht doch falsch war.

Ein fertiges System mit all der Ramschware drauf hab ich noch nie besessen, immer selbst gesteckt. (Außer diesem kleinen niedlichen Schlepptopp hier, aber da hab ich mir die vorinstallierten Programme beim Händler löschen lassen. Seit ca. 14 Monaten keinerlei Vorkommnisse.):smokin
 
Auf einer formatierten Platte kann sowas eigentlich nicht mehr vorhanden sein. Es wäre jedoch möglich, dass sich dieser Mist von einer verstecken Recovery-Partition wieder installieren wollte.
 
Bei einem System "Marke Eigenbau" ist aber auch das eher unwahrscheinlich.
Ich habe allerdings auch keine bessere Erklärung - will sagen: Ich weiß es nicht.
 
Selbst nachdem eine Festplatte Formatiert wurde, ist es noch technisch möglich, Daten widerherzustellen. Inzwischen gibt es auch Möglichkeiten, dass bestimmte Programme verhindern können, dass diese "Überformatiert" werden. Dies ist nur möglich, wenn das Programm erstens Betriebssystemunabhängig ist und bereits Starten kann, wenn der Computer Strom bekommt. Sozusagen ein Virus, der als eigenständiges verstecktes Betriebssystem arbeitet.
 
Ich weiß das ein bestimmter Virus oder Wurmtyp erst dann von der Platte ist, wenn die DDR Riegel ausgetauscht wurde & ein paar Minuten das Mainboard ohne Pufferbatterie ist und mit einem Schraubenzieher mal das plus und Minus an der Batteriehalterung kurzgeschlossen war.
Erst dann kann man 100%ig sagen das die Hardwareebene Entseucht ist. ;)


tty.
 
Oben