Neue Ransomware-Variante ändert das Windows-Kennwort des Opfers

Die Ransomware MegaCortex treibt seit bereits einer ganzen Weile ihr Unwesen, Anfang Mai dieses Jahres hat sie sich dann plötzlich explo­si­ons­artig verbreitet. Danach wurde es wieder still um MegaCortex, nun meldet sie sich mit einer besonders ... mehr... Verschlüsselung, Ransomware, Erpressung, erpressungstrojaner Bildquelle: CC0 / Geralt Verschlüsselung, Ransomware, Erpressung, erpressungstrojaner Verschlüsselung, Ransomware, Erpressung, erpressungstrojaner CC0 / Geralt

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
sollten sie ruhig, hab auf meinem pc keinerlei peinliche oder private Daten.
 
@Ludacris: Top Kommentar. Da hat jemand richtig weit gedacht.
 
@dual-o: Yup. Prinzipiell ist das bei mir wirklich egal, meine backuplösukg ist ziemlich bombenfest. Wenn mein PC also mit einer randsomware infiziert ist ist das vollkommen egal
 
Wie kann man sich denn vor MegaCortex schützen ?
 
@Souldancr: Wie vor allem diesem Zeug: Regelmäßige Backups.
 
@RalphS: done ; )
 
@Souldancr: mit den drei "Verdächtigen": Backups, Updates, Systemhardening. Bei den meisten hapert es ja schon am ersten. Das Zweite ist ja "fast" ausgemerzt dank der Updateverteilungspolitik seitens Windows, das dritte ist die Königs-Disziplin.
 
@Souldancr: Zweitaccount mit Administrator-Rechten anlegen, dem ersten Account die Adminrechte entziehen. Softwareinstallation dann nur noch über den Zweitaccount. So kann sich so ein Schädling nicht tief im System festsetzen, und man hat mit dem Zweitaccount einen zweiten Zugang zum Rechner, mit dem man das Passort des normalen Benutzeraccount wieder zurücksetzen kann.
 
ein backup sollte man immer haben...

und das pw zu ändern ist auch nicht schwer , gibt genug leichte und schwerere möglichkeiten dazu.
 
Da steht, er verbreitet sich über Emotet. Meines Wissens, verbreitet sich Emotet über infizierte E-Mail-Anhänge (im Moment meistens .doc). Falls dies zutrifft, einfach keine Dateianhänge öffnen (und auch keine Links öffnen).
 
@guythomaz: genau so wie: Die Bank wird dich niemals nach PIN/TAN fragen sofern du nicht gerade eine Überweisung tätigst... es gibt immer wieder ewig-gestrige bei denen du das immer und immer wieder rauf und runter beten kannst... die Doofheit des Menschen ist unerreicht...
 
Benutzerpasswort knacken ist ja wohl das leichteste der Welt wenn es dein eigner Rechner ist und du die Platte ausbauen könntest. Der berühmteste Hack ist der Utilman.exe Hack. Gibts ein Sempervideo sogar drüber. Muhaha.
Ich zieh die Platte dann ab und lösch die Datei mit Linux und dann gibts kein PW mehr. ^^
 
@MancusNemo: Unter windows brauchste nur nen 2. Admin account, der kann das PW dann via commandline tool ändern.

Wobei bei MS account gebundenen gehts noch einfacher, an einem anderen Rechner die "PW vergessen" Geschichte machen und gut.
 
@Aerith: Ich hab so viele Rechner ohne Adminaccount gesehen da guck ich dafür nicht mehr nach und mach überall die gleiche Methode, fertig.
 
@MancusNemo: Müsstest du nicht den normalerweise deaktivierten "default admin" account via abgesicherten aktivieren können? Keine Ahnung ob das unter Win10 noch geht.

Mir ist nicht ganz klar was für eine Datei man löschen kann um das Windows zugangspasswort zu ändern, dachte das wäre irgendwo in der Registry verbuddelt.
 
@Aerith: Ja sowas geht auch, aber wenn du eine Lösung für immer ein ähnliches Problem anwendest ist es einfacher zusätzlich ist die Methode mächtiger, du kannst da mit gleich auf einen Schlag noch andre Fehler beseitigen.

Wenn man die Datei löscht wird nicht nur das PW gelöscht sondern auch generierte konfigurations Daten. Spielt aber keine Rolle die erstellt Windows sowieso neu. Das PW liegt nicht im Klartext vor, es ist gehasht. Ich habe sogar mal den Hash ausgetausch, hat auch gelappt. Ist aber schon gefühlt eine ewigkeit her.

In der Registry wird es nur gespiegelt. Da das einlesen der Registry anscheint schneller ist. Liegt aber auch als Datei vor. Ist der gleiche Witz wie mit der MAC Adrese. Liegt in der Registry, die echte wird nach der Installation nie wieder abgefragt, stattdessen immer aus der Registry. Fälschung daher ein Kinderspiel. WTF
 
@MancusNemo: lol okay.
Dann ist mir klar warum du da nicht lange fackelst. Danke fürs erläutern.
 
@Aerith: Ist mein Job Laptops wieder Funktionsfähig zu machen. Da kommt es auf Effektivität an.
 
1. Wenn die Malware wirklich analysiert wurde, dann weiß man auch, ob ein Upload erfolgt
2. Hat so manche Ransomware den Rechner schon unbootbar gemacht - ob sie nun das Passwort ändert oder z.B. den MBR überschreibt macht für den "normalen" Nutzer keinen Unterschied ...
 
Jedem das Seine
 
Da vermutlich die NET-USER-Befehlskette verwendet wird zum ändern des Passwortes ist davon auszugehen, dass bei dem ein oder anderen durch diesen Vorgang allein schon Schaden vorhanden ist den lediglich ein Backup beheben kann. Ich sage nur mal "EFS-Zertifikate" ;)

Das wirklich einzig sinnvolle ist im Falle-des-Falles ein sauberes Backup wieder einzuspielen.
 
@Stefan_der_held: Das würde ich immer tun, einem einmal kompromittierten System traue ich nicht mehr.

Ist ja idR auch kein Problem. Datenplatten in einer live boot umgebung durchscannen, Systemplatte plattmachen und neu aufsetzen. Je nach Verbreitung / Scanresultat braucht man noch nichtmal das Backup bemühen.
 
Mich würde mal interessieren:

Wenn ein normaler Nutzer den Trojaner eingefangen hat, Daten verschlüsselt und das Nutzerpasswort wird geändert, wie will der Nutzer später dann an die Eingabemaske kommen, wenn er sich doch gar nicht mehr anmelden kann? Weil der normale Nutzer evtl. den PC heruntergefahren hat oder so...
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.