Windows-Ransomware nutzt den Abgesicherten Modus, um Windows-Verteidigung auszuhebeln

Die Sicherheitsforscher des Sophos-Teams haben entdeckt, dass die Ransomware Snatch eine Schwachstelle in Windows ausnutzt, um dessen Verteidigungsmechanismen zu umgehen. Snatch läuft auf allen gängigen Windows-Versionen, sowohl in 32- als auch 64-Bit.

Der Schadcode lässt den Computer abstürzen und bootet anschließend in den Abgesicherten Modus. Hier sind nur wenige Anwendungen und Dienste geladen, Antiviren-Software oder Windows Defender sind nicht aktiv.

Dadurch hat Snatch leichtes Spiel, startet automatisch als Service und nutzt den Freiraum, um den kompletten PC zu verschlüsseln. Anschließend fordern die Macher eine Lösegeldsumme in der Kryptowährung Bitcoin, welche zwischen 2.900 und 51.000 US-Dollar liegen soll.

Gefährlich wird die Software vor allem Unternehmen. Daher empfiehlt Sonos insbesondere die Remote-Desktop-Funktion niemals über das ungesicherte Internet sichtbar zu machen. Wenn die Funktion gebraucht wird, sollte sie hinter einem VPN gesichert werden. Angeblich heuern die Angreifer Programmierer an, welche sich mit anderen Remote-Tools wie VNC oder TeamViewer  auskennen, auch hier sollte man besser die Finger von den Programmen lassen. Auch SQL-Server stellen wohl ein Risiko dar. Eine weitere Empfehlung stellt die Implementation einer Multi-Faktoren-Autthentifizierung zumindest für Administratoren dar.