[Born-IT] MegaCortex Ransomware ändert Windows Nutzer-Kennwort

Jump to last post
[English]Eine neue Version des MegaCortex Ransomware wird durch Schadsoftware wie Emotet verbreitet. Die neue Variante verschlüsselt nicht nur die Dateien des Systems sondern ändert auch das Passwort des angemeldeten Nutzers. Dem MalwareHunterTeam sind wohl entsprechende Malware-Beispiele ins Netz gegangen. In
You do not have permission to view link please Anmelden or Registrieren


You do not have permission to view link please Anmelden or Registrieren



Autor: Günter Born
 
Zum Vergrößern anklicken....
Da kommt man mit Adminrechten relativ leicht ran. Einfach irgendwas überschreiben das als Systemnutzer läuft und dann das aufrufen (lassen).

Bei Windows XP Maschinen zum Beispiel war das zumindest ein gängiger weg Passwörter zurückzusetzen wenn man Hardwarezugriff hat aber das Passwort vergessen. Kontrastmodus durch CMD ersetzen.

Sollte man natürlich danach wieder rückgängig machen wenn man keine permanente Möglichkeit drinlassen möchte per Tastenkomination eine Systemuser Shell zu öffnen...
 
Zuletzt bearbeitet:
alter_Bekannter schrieb:
Einfach irgendwas überschreiben das als Systemnutzer läuft und dann das aufrufen (lassen).

Bei Windows XP Maschinen zum Beispiel war das zumindest ein gängiger weg Passwörter zurückzusetzen wenn man Hardwarezugriff hat aber das Passwort vergessen. Kontrastmodus durch CMD ersetzen.
Zum Vergrößern anklicken....
Per Live-Medium? Bitte sag jetzt nicht dass man unter Windows als Nutzer Schreibzugriff auf solche Dateien hat :eek:
 
Als Admin, durchaus. Man mmuss vorhr allerdings fleissig GUI schubsen. Die Interfaces dazu sind etwas für die Tonne. Wollte mir schon ewig mal ein Programm dafür schreiben. War aber immer zu faul.

Grober Prozess für Windows7:
Besitz der Datei ändern (Ja, das geht als "Admin" von "System" zu "Admin")
Admin Schreibrechte geben
Beliebig ändern

Guides dafür findet man zum Beispiel in Tutorials wie man die Aktivierung umgeht. So habe ich bisher alle meine Windows7 Installationen betrieben.

Wenn man selbst Aktivierungsrelevante Dienste so ändern kann bezweifle ich das irgendwas anderes höher geschützt ist.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben