Black Basta verschlüsselt Daten


 
10/14
Sicherer Boot-Vorgang, der von der Ransomware ausgeführt wird
Die Ransomware überprüft die Boot-Optionen mithilfe der "GetSystemMetrics()"-API und fügt den Eintrag "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Fax" in der Registrierung hinzu, um den Fax-Dienst im abgesicherten Modus zu starten. Danach richtet die Black-Basta-Ransomware das Betriebssystem so ein, dass es mit dem Befehl "bcedit.exe" im abgesicherten Modus startet.
(Foto: Cyble)