Suchen

Trojaner "Goldeneye" Neue Ransomware nimmt gezielt Personalabteilungen ins Visier

| Redakteur: Sebastian Gerstl

Die Polizei warnt Firmen in ganz Deutschland vor Bewerbungs-Emails mit Schadsoftware. Der Verschlüsselungstrojaner "Goldeneye" enthält zwei Dokumente, die sich als Bewerbungsunterlagen ausgeben. Perfide: Die Ransomware nimmt Bezug auf aktuelle Stellenausschreibungen.

Firma zum Thema

Mit "Goldeneye" ist erneut ein Ransomware-Trojaner im Umflauf, der sich dieses Mal gezielt an Personalabteilungen deutschsprachiger Unternehmen richtet. Der Schädling gibt sich als Bewerbungsschreiben aus - einmal ausgeführt, werden sämtliche auf dem Rechner liegende Daten verschlüsselt.
Mit "Goldeneye" ist erneut ein Ransomware-Trojaner im Umflauf, der sich dieses Mal gezielt an Personalabteilungen deutschsprachiger Unternehmen richtet. Der Schädling gibt sich als Bewerbungsschreiben aus - einmal ausgeführt, werden sämtliche auf dem Rechner liegende Daten verschlüsselt.
(Bild: bleepingcomputer.com)

Der Trojaner ist seit Dienstag in diversen Posteingängen deutscher Unternehmen aufgetaucht. Der Verschlüsselungsschädling "Goldeneye" - offenbar benannt nach dem James-Bond-Film mit Pierce Brosnan - ist wie viele seiner Art als eine infizierte Excel-Datei (mit Endung .xls) an einer E-Mail angehängt.

Bildergalerie
Bildergalerie mit 5 Bildern

Die Art, in der sich die Ransomware tarnt, ist allerdings recht ausgeklügelt: Die E-Mails sind, mit einigen wenigen Ausnahmen, in fehlerfreiem Deutsch verfasst und geben sich als Bewerbungsschreiben aus, die sogar Bezug auf tatsächlich existierende Stellenausschreibungen der betroffenen Firma nehmen. Viele Emails besitzen neben dem Excel-Dokument noch eine als Bewerbungsunterlagen getarnte PDF-Datei, die offenbar zum Teil gültige Postadressen und Telefonnummern enthalten. Die Polizei Mittelfranken und der CERT-Bund des Bundesamtes für Sicherheit in der Informationstechnik (BSI) haben bereits entsprechende Warnungen herausgegeben.

Wie Heise Security meldet, tragen die E-Mails, die die Schadsoftware vertreiben, als Absender den Namen "Rolf Drescher" und werden meist von verschiedenen Adressen nach dem Namensschema "rolf.drescher@" und ähnlichen Variationen (wie "rolfdrescher1988@" etc.) versandt. Die Ingenieursozietät Dipl.- Ing. Rolf B. Drescher VDI & Partner bietet Entschlüsselungshilfe für Opfer eines ähnlichen Trojaners namens Petya an. Die Vermutung liegt nahe, dass der neue Schädling "Goldeneye" wohl auch eine Racheaktion gegen das Büro darstellen soll. Nach Anfrage von Heise Security hat die Ingenieursozietät bereits Anzeige gegen Unbekannt erstattet.

Goldeneye infiziert einen Rechner durch ein sogenanntes Makro; wurden Makros in Excelsheets auf einem Rechner deaktiviert wird der Nutzer aufgefordert, auf den Knopf "Inhalt aktivieren" zu drücken, was unter keinen Umständen getan werden sollte. Einmal auf den Rechner gelangt gibt sich die Ransomware beim nächsten Neustart des PCs als eine reguläre CHKDSK-Festplattenprüfung aus. Tatsächlich werden aber die Daten des befallenen Systems verschlüsselt; verschiedenen Meldungen zufolge sind hierbei oft auch Daten, die auf Netzlaufwerken liegen, betroffen. Anschließend präsentiert das System eine Lösegeldforderung und eine Anleitung, wie man den Entschlüsselungscode bezahlen soll.

Da der Schädlung "Goldeneye" brandneu ist, wird er derzeit von kaum einer Antivirensoftware erkannt. Der beste Schutz vor Befall ist auch hier: Office-Makros deaktiviert lassen und auf keinen Fall die schädliche Excel-Datei öffnen – was angesichts der guten Tarnung der Ransomware wahrscheinlich relativ häufig passieren dürfte.

(ID:44417739)