Blog
tags: news software deutsch copypaste
Permalink: https://musicchris.de/blog?id=49&langopt=english
ACHTUNG: Verschlüsselungs-Trojaner wieder im Umlauf
Schnatterente.net schrieb:
Windows-Nutzer und Netzwerkadministratoren aufgepasst!
Vor circa anderthalb Jahren habe ich hier mal über "Bitcrypt2" berichtet. Das ist ein trojanisches Pferd, das alle Dokumente, die es auf der Festplatte findet, verschlüsselt.
Zurzeit sind wieder derartige Trojaner auf dem Vormarsch!
Anfang der Woche klingelte mein Telefon und man bat mich um Hilfe, weil jemand an einem Bürorechner versucht hatte, ein Bewerbungsschreiben aus dem Internet herunterzuladen und dieses zu öffnen. Dabei handelte es sich jedoch um einen Verschlüsselungstrojaner.
Das Resultat dieser Aktion ist, dass die Schadsoftware so ziemlich alle wichtigen Dateien, die auf dem PC gespeichert waren, verschlüsselt hat. Die Dateien lassen sich nicht mehr öffnen und da das Trojanische Pferd mit einem Verschlüsselungsalgorithmus arbeitet, welcher als sehr sicher gilt, ist auch nicht davon auszugehen, dass man jemals wieder an die Daten rankommt.
Erpressung mittels Verschlüsselung
Das Ziel der Leute, die hinter diesem Trojaner stecken, ist es Geld zu erpressen. So wird man als Geschädigter vom eigenen PC darüber informiert, dass man den Kriminellen für eine recht hohe Summe (meist mehrere Tausend Euro) eine Software abkaufen kann, die die Daten nachfolgend wieder entschlüsselt.
Man sollte sich nicht auf diesen Handel einlassen, denn es kann natürlich sein, dass man das versprochene Entschlüsselungsprogramm nach der Zahlung gar nicht erhält. Im schlimmsten Fall kommen mehrfache Nachforderungen für weitere Zahlungen und am Ende hat man nicht nur keine Daten, sondern auch kein Geld mehr.
Horrorszenario eingetreten
In dem oben geschilderten Fall sieht es übrigens wirklich übel aus. Auf dem infizierten PC lagen alle wichtigen Unterlagen des Gastronomiebetriebes (auch die Buchhaltungsdaten). Als Backuplösung war ein RAID-System sowie ein Netzlaufwerk vorgesehen. Beides nützt nun nichts mehr. Das RAID-System schützt vor einem Festplattenausfall, aber nicht vor Schadsoftware. Und da das Netzlaufwerk in Windows eingebunden war, hat der Trojaner auch alle dort liegenden Daten verschlüsselt.
Die Virensoftware (in diesem Fall McAfee) war auf dem aktuellen Stand, hat den Trojaner aber nicht erkannt. Ein Upload des Schadprogrammes bei VirusTotal zeigte, dass McAfee damit aber keine Ausnahme darstellte. In dieser Form scheint der Virus noch weitestgehend unbekannt gewesen zu sein.
Auf den Angriff reingefallen ist man im vorliegenden Fall nur, weil da eine wirklich "gut" gemachte E-Mail ankam. Diese wurde von einer seriös klingenden E-Mail-Adresse von einem deutschen Provider verschickt. Es handelte sich um einen Bewerbungstext für eine Stellenanzeige, die es auch wirklich gibt. Die E-Mail war in korrektem Deutsch verfasst und genau auf den Adressaten zugeschnitten. Das einzig Merkwürdige war, dass der Lebenslauf nicht als Anhang mit der Mail kam (vermutlich um dem Virenscanner des Providers zu entgehen), sondern dass auf einen Dropbox-Link zum Download verwiesen wurde.
Der Mitarbeiter, der die Mail bekommen hat (ein Koch), hat sich dabei nichts gedacht und die Datei heruntergeladen. Diese trug den Namen Bewerbung.pdf.exe. Bei Vielen schrillen bei so einem Dateinamen sicher gleich die Alarmglocken, doch Anwendern, die sonst nicht viel mit Computern zu tun haben, kann man keinen Vorwurf machen, wenn sie sich nicht mit Dateiendungen auskennen.
Vorsichtig sein und andere warnen!
In den letzten Tagen erreichten mich immer mehr Meldungen von weiteren Betroffenen. Ich habe auch von noch mehr Fällen gehört, bei denen die E-Mails genau auf die Empfänger zugeschnitten waren. Es scheint also gerade eine größere Angriffswelle zu geben und diese scheint gut geplant zu sein.
Deswegen möchte ich zu besonderer Vorsicht aufrufen.
Hier ein paar grundlegende Verhaltensregeln:
- Öffnet keine E-Mail-Anhänge, die euch merkwürdig vorkommen oder die ihr nicht erwartet.
- Öffnet auch keine E-Mail-Anhänge von euch bekannten Personen, wenn in den Nachrichten nicht explizit auf die Anhänge verwiesen wird. (Einige Trojaner sind in der Lage die Anhänge von ausgehenden E-Mails zu manipulieren.)
- Klickt keine dubiosen Links an, die ihr in E-Mails findet. Prüft bei allen Links genau, ob sie wirklich auf die Seite verlinken, die im Text angegeben ist. (Es sind auch viele Phishing-Mails unterwegs.)
- Seid skeptisch, wenn unerwartet Rechnungen, Bewerbungen oder Schreiben von Anwälten per E-Mail ankommen. (Oft werden auch E-Mails von großen deutschen Telekommunikationsunternehmen gefälscht. Diese sind sowohl vom Design als auch vom Text her kaum von den Originalen zu unterscheiden.)
- Falls seltsam anmutende Mails bei euch ankommen, fragt bei den Absendern nach bzw. informiert sie darüber, dass ihr Rechner eventuell automatisch Mails versendet.
- Falls ihr ohne vorherige Rücksprache Dateien mit den Endungen *.exe oder *.msi bekommt, solltet ihr diese nicht öffnen. Vorsicht ist auch bei *.zip- und *.rar-Archiven geboten.
- Haltet eure Antiviren-Software aktuell.
- Erstellt regelmäßige Backups eurer Daten und trennt die dazu verwendeten Speichermedien dann wieder vom PC.
- Auch beim Umgang mit Smartphones und Tablets sollte man vorsichtig sein. Schließt die Geräte nur an den USB-Port des PCs an, wenn es unbedingt sein muss. Nutzt zum Akkuladen lieber das Netzteil. Viele Viren befallen erst mobile Endgeräte und werden dann über eine aktive USB-Verbindung auf den PC übertragen. Installiert daher auch nur Apps, die vertrauenswürdig sind.
- Falls ihr feststellt, dass mit eurem PC etwas nicht stimmt oder ihr merkt. dass ihr euch tatsächlich einen Verschlüsselungstrojaner eingefangen habt, trennt den Rechner SOFORT vom Netzwerk und von allen externen Speichermedien. Fahrt den PC schnellstmöglich herunter. (Im Zweifelsfall kann es auch sinnvoll sein, einfach mal den Stecker zu ziehen. Eventuell verhindert man damit, dass der Trojaner noch weitere Dateien verschlüsselt.) Fragt dann einen Fachmann, was zu tun ist.
Ich weiß, dass unter meinen Lesern viele Netzwerkadministratoren, Software-Entwickler und sonstige Informatiker sind. Um euch mache ich mir keine Sorgen, aber um alle anderen.
Wissen ist das beste Mittel zur Prävention. Also schult eure Anwender. Sensibilisiert sie insbesondere, bezüglich der Gefahren von E-Mail-Anhängen und Links in E-Mails. Und vergesst auch nicht die Leute in eurer Familie und im Freundes- und Bekanntenkreis aufzuklären, die nicht mit Computern groß geworden sind. ;-)
In den Kommentaren fand sich noch:
postlet, am 01.10.2015 um 21:12 Uhr
Ich hätte da noch einen Vorschlag für die Verhaltensregeln: Man sollte nach Möglichkeit die reine Textansicht für E-Mails verwenden. Da wird dann recht schnell ersichtlich, wenn hinter dem „Hier klicken!“-Link in einer seriös wirkenden HTML-Mail eigentlich die gute alte krankenversicherung24.ru steckt.
Übrigens darfst du dir auch Sorgen um die Administratoren machen … Die müssen so eine Scheiße am Ende doch immer irgendwie gerade biegen. Ich freu mich schon auf den nächsten Anruf =\
Und wenn dieser Artikel jetzt noch irgendwie die eigentliche Zielgruppe erreichen könnte … Würde das vermutlich auch nichts ändern =P
comments
1) Anonymous
03.Oct.2015 10:42
2) chris_blues
03.Oct.2015 15:09
3) Anonymous
04.Oct.2015 18:13
4) chris_blues
04.Oct.2015 19:46
post a comment
privacy declaration
Your IP-address, useragent-string etc are not stored by this blog-software. Still, it is possible that the hoster of this website may store data like this. But that is beyond the scope of this blog-software. Check out this website's privacy declaration to find out more about that!
This blog-software generally doesn't store any information about you. Only if you post a comment, some data will have to be stored. You don't have to input any personal information here. Except for the comment itself, all fields are optional!
If you don't want to tells us your name, that's fine. It will be shown as 'anonymous'.
If you want to receive notifications on following comments, naturally you'll have to give us your email address. It will be stored and not be shared with anybody. If you don't want to be notified, just leave the notifications field empty.
If you want your name to be linked to your website, you'll have to give us your site's address. Otherwise leave this field empty.
This data will be stored in case you decide to post a comment here: