Gefahr durch PDF-Datei mit angehängter Word-Datei als Mail-Anhang in gefälschter Rechnung.
Aktuell wird verstärkt eine neue Ransomware per Mail verschickt, die nach Ausführung des Empfängers den Computer verschlüsselt und ein Lösegeld erpresst.
Als Betreff wird in der Regel „Invoice“ mit anschließend zufälliger Nummer angegeben. Der eigentliche Mailtext wird dabei sehr kurz gehalten und fordert lediglich zum Öffnen des Anhanges auf.
Der Anhang ist eine PDF-Datei mit angehängtem Word-Dokument. Dies bedeutet, das Word-Dokument ist direkt in die PDF integriert und für den Anwender ist eigentlich nur eine PDF-Datei zu erkennen. Die Word-Datei selber enthält jedoch ein Makro, welches die eigentliche Schadsoftweare aus dem Netz herunterlädt und ausführt. Öffnet man die PDF-Datei, wird per Java-Script das Word-Dokument ausgeführt. Dies muss zuvor durch den Benutzer bestätigt werden.
Im Anschluss öffnet sich Word mit dem integrierten Dokument, inklusive Marko-Warnung.
Wer nun die Ausführung von Makros in Word aktiviert, lädt das Makro und somit die Ransomware herunter. Im Hintergrund beginnt die Schadsoftware ihre Arbeit und verschlüsselt den Rechner und die somit angeschlossenen Netzlaufwerke.
Dieser „Umweg“ über die PDF führt hier also zunächst zu einer sinnvollen Sicherheitsabfrage, die vom Benutzer bestätigt werden muss. Für die Täter hat es aber den Vorteil, dass der Anhang (PDF-Datei) seltener durch z.B. Antivirensoftware herausgefiltert wird und im Allgemeinen als sicher angesehen wird.
Nach erfolgreicher Verschlüsselung sind die Dateien mit der Endung „.wlu“ umbenannt und es Entschlüsselungsanweisungen als html, txt und png in jedem Ordner gespeichert.