Es gibt Ransomware, die sich nicht mit dem Verschlüsseln von Daten zufrieden gibt und auch den Master Boot Record befällt, um so Opfer von ihren Computern auszusperren. Ein neues Tool soll davor schützen.

Sicherheitsforscher von Cisco Talos haben ein Tool namens MBRFilter veröffentlicht, das Windows-Computer bis zu einem gewissen Grad vor bestimmten Verschlüsselungs-Trojanern beschützen soll.

Dabei verhindert das Tool aber nicht das Verschlüsseln von Daten, sondern schützt den Master Boot Record (MBR) und das GUID Partition Table (GPT) davor, überschrieben zu werden. Das macht nämlich Ransomware wie HDDCryptor und Petya, um den Zugriff auf infizierte Computer zu sperren.

MBRFilter verbietet das Schreiben auf den Sektor 0 von allen an einen Computer angeschlossenen Festplatten. So kann etwa ein Schädling nicht auf den MBR zugreifen. Um das zu erreichen, setzen die Entwickler unter anderem auf Microsofts Windows-Bordmittel Diskperf.

Soll funktionieren, kann aber Probleme verursachen

Diese Vorgehensweise kann jedoch Probleme machen, wenn man eine neue Festplatte in ein System einbinden möchte. Doch es gibt Abhilfe und man muss lediglich auf Cancel im MBRFilter-Feld klicken. Wer aus Versehen auf OK gekickt hat, muss Windows im abgesicherten Modus booten und die Anleitung von Talos befolgen. Dort steht auch, wie das Tool wieder entfernt wird.

Laut den Ransomware-Experten von Bleepingcomputer.com macht MBRFilter, was es verspricht. In ihren Tests konnten sie mit dem Tool Petya erfolgreich daran hindern, den MBR zu verändern.

Quelle: //heise.de/-3359005