Trojaner "Goldeneye"

Neue Ransomware nimmt gezielt Personalabteilungen ins Visier

| Redakteur: Sebastian Gerstl

Mit "Goldeneye" ist erneut ein Ransomware-Trojaner im Umflauf, der sich dieses Mal gezielt an Personalabteilungen deutschsprachiger Unternehmen richtet. Der Schädling gibt sich als Bewerbungsschreiben aus - einmal ausgeführt, werden sämtliche auf dem Rechner liegende Daten verschlüsselt.
Mit "Goldeneye" ist erneut ein Ransomware-Trojaner im Umflauf, der sich dieses Mal gezielt an Personalabteilungen deutschsprachiger Unternehmen richtet. Der Schädling gibt sich als Bewerbungsschreiben aus - einmal ausgeführt, werden sämtliche auf dem Rechner liegende Daten verschlüsselt. (Bild: bleepingcomputer.com)

Die Polizei warnt Firmen in ganz Deutschland vor Bewerbungs-Emails mit Schadsoftware. Der Verschlüsselungstrojaner "Goldeneye" enthält zwei Dokumente, die sich als Bewerbungsunterlagen ausgeben. Perfide: Die Ransomware nimmt Bezug auf aktuelle Stellenausschreibungen.

Der Trojaner ist seit Dienstag in diversen Posteingängen deutscher Unternehmen aufgetaucht. Der Verschlüsselungsschädling "Goldeneye" - offenbar benannt nach dem James-Bond-Film mit Pierce Brosnan - ist wie viele seiner Art als eine infizierte Excel-Datei (mit Endung .xls) an einer E-Mail angehängt.

Die Art, in der sich die Ransomware tarnt, ist allerdings recht ausgeklügelt: Die E-Mails sind, mit einigen wenigen Ausnahmen, in fehlerfreiem Deutsch verfasst und geben sich als Bewerbungsschreiben aus, die sogar Bezug auf tatsächlich existierende Stellenausschreibungen der betroffenen Firma nehmen. Viele Emails besitzen neben dem Excel-Dokument noch eine als Bewerbungsunterlagen getarnte PDF-Datei, die offenbar zum Teil gültige Postadressen und Telefonnummern enthalten. Die Polizei Mittelfranken und der CERT-Bund des Bundesamtes für Sicherheit in der Informationstechnik (BSI) haben bereits entsprechende Warnungen herausgegeben.

Wie Heise Security meldet, tragen die E-Mails, die die Schadsoftware vertreiben, als Absender den Namen "Rolf Drescher" und werden meist von verschiedenen Adressen nach dem Namensschema "rolf.drescher@" und ähnlichen Variationen (wie "rolfdrescher1988@" etc.) versandt. Die Ingenieursozietät Dipl.- Ing. Rolf B. Drescher VDI & Partner bietet Entschlüsselungshilfe für Opfer eines ähnlichen Trojaners namens Petya an. Die Vermutung liegt nahe, dass der neue Schädling "Goldeneye" wohl auch eine Racheaktion gegen das Büro darstellen soll. Nach Anfrage von Heise Security hat die Ingenieursozietät bereits Anzeige gegen Unbekannt erstattet.

Goldeneye infiziert einen Rechner durch ein sogenanntes Makro; wurden Makros in Excelsheets auf einem Rechner deaktiviert wird der Nutzer aufgefordert, auf den Knopf "Inhalt aktivieren" zu drücken, was unter keinen Umständen getan werden sollte. Einmal auf den Rechner gelangt gibt sich die Ransomware beim nächsten Neustart des PCs als eine reguläre CHKDSK-Festplattenprüfung aus. Tatsächlich werden aber die Daten des befallenen Systems verschlüsselt; verschiedenen Meldungen zufolge sind hierbei oft auch Daten, die auf Netzlaufwerken liegen, betroffen. Anschließend präsentiert das System eine Lösegeldforderung und eine Anleitung, wie man den Entschlüsselungscode bezahlen soll.

Da der Schädlung "Goldeneye" brandneu ist, wird er derzeit von kaum einer Antivirensoftware erkannt. Der beste Schutz vor Befall ist auch hier: Office-Makros deaktiviert lassen und auf keinen Fall die schädliche Excel-Datei öffnen – was angesichts der guten Tarnung der Ransomware wahrscheinlich relativ häufig passieren dürfte.

Top 6 der erfolgreichen Ransomware-Familien

Crypto-Malware

Top 6 der erfolgreichen Ransomware-Familien

07.07.16 - Locky war weder die erste Ransomware, noch wird sie die letzte sein. Deshalb gilt es, Crypto-Trojaner und andere Erpresser-Tools besser zu verstehen, um sich schützen zu können. Wir werfen einen Blick auf die Ransomware, die aktuell aktiv und erfolgreich ist. lesen

Cyber-Erpresser nehmen kritische Infrastrukturen ins Visier

Ransomware

Cyber-Erpresser nehmen kritische Infrastrukturen ins Visier

08.03.16 - Das amerikanische Institute for Critical Infrastructure Technology (ICIT) hat seinen Ransomware-Bericht veröffentlicht. Der Trend, dass Erpresser kritische IT-Infrastrukturen wie etwa Kliniken in Geiselhaft nehmen, nimmt zu. Auch das IoT könnte in das Fadenkreuz der Malware-Erpresser geraten. lesen

Erpresser-Trojaner „Locky“ infiziert in Deutschland über 5000 Rechner pro Stunde

Ransomware

Erpresser-Trojaner „Locky“ infiziert in Deutschland über 5000 Rechner pro Stunde

19.02.16 - Seit Anfang der Woche breitet sich eine neue Ransomware mit Namen Locky weltweit rasant aus. Der Schädling, der über infizierte Mailanhänge verbreitet wird, verschlüsselt Daten auf befallenen Rechnern. Inzwischen gibt es sogar eine eingedeutschte Version, die von Opfern ein Lösegeld einfordert. lesen

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44417739 / Safety und Security)