Home  Kontakt  Impressum und Datenschutz 

Ransomware Jaff tarnt sich als "Invoice"  vom 30.05.2017

Gefahr durch PDF-Datei mit angehängter Word-Datei als Mail-Anhang in gefälschter Rechnung.

© H.-J. Henschel/LKA NI

Aktuell wird verstärkt eine neue Ransomware per Mail verschickt, die nach Ausführung des Empfängers den Computer verschlüsselt und ein Lösegeld erpresst.

Als Betreff wird in der Regel "Invoice" mit anschließend zufälliger Nummer angegeben. Der eigentliche Mailtext wird dabei sehr kurz gehalten und fordert lediglich zum Öffnen des Anhanges auf.

Initiates file download

Der Anhang ist eine PDF-Datei mit angehängtem Word-Dokument. Dies bedeutet, das Word-Dokument ist direkt in die PDF integriert und für den Anwender ist eigentlich nur eine PDF-Datei zu erkennen. Die Word-Datei selber enthält jedoch ein Makro, welches die eigentliche Schadsoftweare aus dem Netz herunterlädt und ausführt. Öffnet man die PDF-Datei, wird per Java-Script das Word-Dokument ausgeführt. Dies muss zuvor durch den Benutzer bestätigt werden.

Initiates file download

Im Anschluss öffnet sich Word mit dem integrierten Dokument, inklusive Marko-Warnung.

Initiates file download

Wer nun die Ausführung von Makros in Word aktiviert, lädt das Makro und somit die Ransomware herunter. Im Hintergrund beginnt die Schadsoftware ihre Arbeit und verschlüsselt den Rechner und die somit angeschlossenen Netzlaufwerke.

 Initiates file download

Dieser "Umweg" über die PDF führt hier also zunächst zu einer sinnvollen Sicherheitsabfrage, die vom Benutzer bestätigt werden muss. Für die Täter hat es aber den Vorteil, dass der Anhang (PDF-Datei) seltener durch z.B. Antivirensoftware herausgefiltert wird und im Allgemeinen als sicher angesehen wird.

Nach erfolgreicher Verschlüsselung sind die Dateien mit der Endung ".wlu" umbenannt und es Entschlüsselungsanweisungen als html, txt und png in jedem Ordner gespeichert.

 Initiates file download

 Bildquellen: LKA Niedersachsen




Weitere Meldungen

11.08.2017 05:32

BKA-Trojaner Ransomware blockt den Browser

iTunes Gutschein als Lösegeld gefordert


03.08.2017 09:14

PETYA Entschlüsselungstool veröffentlicht

Geschädigte der Ransomware können die Anleitung des LKA nutzen


20.07.2017 11:05

KIKA Kummerkasten zum Thema Cybermobbing

Sendung mit Infos auf Webseite und in Mediathek


18.07.2017 11:44

Apple-ID Phishing in guter Optik

Täter wollen Zugangsdaten und mehr


18.07.2017 10:26

T-Online Kunden aufgepasst vor falscher Mail

Mailempfänger sollen angeblich Konten bestätigen


Regionale Termine

Momentan keine Einträge