Ransomware: Mamba chiffriert ganze Festplatten

In der Research-Abteilung von Sophos, den SophosLabs, ist man auf eine neue Ransomware gestossen, die besonders perfid ist, weil sie ganze Festplatten verschlüsselt, statt nur einzelne Dateien. Und es kommt noch schlimmer: Zeigen sich Betroffene sogar zahlungswillig, ist es dennoch unwahrscheinlich, dass die Festplatte jemals wieder entschlüsselt werden kann.

Doch immerhin gibt es auch eine gute Nachricht: Die Mamba genannte Ransomware ist bislang noch nicht in freier Wildbahn gesichtet worden.

Dennoch ist Mamba interessant, denn ihre Schöpfer sind offenbar noch in der Testphase und auf der Suche nach etwas Neuem. Das Geschäftsmodell der Cyberkriminellen kann zum heutigen Zeitpunkt noch nicht genau erklärt werden.

Es gibt bereits eine Ransomware, die ähnlich arbeitet, genannt Petya. Sie verschlüsselt den Master-Index der Festplatte (auch Master File Table oder MFT genannt) und informiert die Verbraucher über einen Boot-Bildschirm im 1990er-Jahre-Look darüber, wie sie sich aus ihrer misslichen Lage herauskaufen können. Rebooting? Fehlanzeige. Petya belässt zwar den Grossteil der Rohdaten unverschlüsselt auf Sektorebene – allerdings ausser Reichweite.

Mamba geht einen Schritt weiter: Sie kriecht in jeden Sektor der Festplatte inklusive MFT, Betriebssystem, Anwendungen sowie freigegebenen und persönlichen Daten. Dabei kommt Mamba mit sehr geringem Programmieraufwand aus: Die Malware installiert und aktiviert eine Kopie der Open-Source-Software DiskCryptor.