RATGEBER INTERNETKRIMINALITÄT

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Search in posts
Search in pages

Neuer Verschlüsselungstrojaner als Bewerbung getarnt

HINWEIS: Dieser Artikel wurde vor über einem Jahr veröffentlicht. Daher kann es sein, dass Links und Bildbeispiele teilweise nicht mehr aktuell sind bzw. von uns oder dem Anbieter entfernt wurden.

Goldeneye verbreitet sich massenhaft

Unsere Kollegen aus der Zentralen Ansprechstelle Cybercrime (ZAC) machten uns gestern auf eine neue Gefährdung aufmerksam, die offensichtlich verstärkt an Unternehmen geschickt wurde. Eine als Bewerbung getarnte Datei beinhaltet eine agressive Schadsoftware, die das dann befallene System sperrt, verschlüsselt und im Anschluss ein hohes Lösegeld erpresst.

Die Empfänger gaben bekannt, dass Sie nachfolgende Mail bekommen hätte:

Betreff: Bewerbung als Hilfskraft Altenpflege
Von: Rolf[XXXXX]
Datum: 06.12.2016 08:20
An: [XXXXXX]
Sehr geehrte Damen und Herren, hiermit bewerbe ich mich bei Ihnen für die die Stelle als Hilfskraft Altenpflege. Meine vollständigen Bewerbungsunterlagen können Sie dem Anhang entnehmen. Ich freue mich auf Ihre Rückmeldung und stehe Ihnen bei Rückfragen jederzeit gerne zur Verfügung. Mit freundlichen Grüßen Rolf [XXXX]

Der Anhang beinhaltete eine angebliche xml.Datei, die z.B. mit Excel geöffnet wird. Im Anschluss beginnt die Datei bei aktivierten Macros sofort die Verschlüsselung des betroffenen Systems und gibt folgende Meldung aus:

„You became victim of the GOLDENEYE RANSOMWARE!
The files on your computer have been encrypted with an military grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.   To purchase your key and restore your data, please follow these three easy steps:…“

Öffnen Sie unter keinen Umständen die angehängte Datei! Aktivieren Sie nicht die Macrofunktion in Ihrem Officepaket. Antworten Sie auch nicht dem Mail-Versender, da hier derzeit davon ausgegangen wird, dass auch hier fremde Mailkonten für den Versand der Mail missbraucht wurden. Klären Sie Ihre Mitarbeiter über die aktuelle Gefahr auf! Hier sollten insbesondere Firmen aufpassen, die aktuell laufenden Bewerbungsverfahren veröffentlicht haben.

Sollten Sie bereits geschädigt sein, so trennen Sie den betroffenen Computer sofort vom restlichen Netzwerk, um eine weitere Verbreitung zu minimieren. Informieren Sie Ihre IT und erstatten Sie Anzeige bei Ihrer Polizei. Als Wirtschaftsunternehmen steht Ihnen Ihre ZAC in Ihrem Bundesland als Ansprechpartner zur Verfügung. In Niedersachsen find Sie die ZAC hier.

Bislang erkennen noch nicht alle Antivirenprogramm die Gefahr. Somit ist höchste Vorsicht geboten!

Nach Öffnen der XML Datei die Aufforderung zur Macro-Aktivierung

Sperrbildschrim nach Verschlüsselung

Scroll to top