Maildomain: Virus tarnt sich als Exel Dateianhang

7. Dezember 2016 | Von | Kategorie: Domain Knowhow, Domain News

Verschlüsselungstrojaner „Goldeneye“ in Deutschland aktiv

Ein neuer Trojaner ist seit einigen Tagen in Deutschland aktiv. Die Schadsoftware „Goldeneye“ ist in einer XLS Datei versteckt, die als E-Mail-Anhang bei den Empfängern ankommt. Im Fokus der Cyberkriminellen hinter dem Verschlüsselungstrojaner stehen vor allem Firmen, da das Anschreiben als Online-Bewerbung getarnt ist. Anscheinend werden die Firmen sehr gezielt ausgesucht.

Für die Empfänger ist es schwierig, die Mail herauszufiltern, denn der Text ist fehlerfrei, in einwandfreiem Deutsch erstellt und bezieht sich immer auf aktuell angebotene Stellen in den Unternehmen. Es werden auch zuständige Mitarbeiter direkt angesprochen und anscheinend sind die Strukturen in den Firmen bekannt. Unternehmen, die viele verschiedene Stellenausschreibungen haben, stehen also vor einem großen Problem, denn sobald der Link aktiviert wird, verschlüsselt der Trojaner die Domain.

Nur Mitarbeiter, die sich mit Makros auskennen, können in der Freigabeaufforderung, die ganz offen kommuniziert wird, einen Schädling erkennen. Doch meist sind die Personen nicht ausreichend geschult, um der Gefahr adäquat zu begegnen und deshalb kann sich „Goldeneye“ fast ungehindert ausbreiten

„Goldeneye“: Aktivierung durch Aktion
Wer die Mail mit dem infizierten Anhang erhält und diesen anklickt, wird erneut gebeten, die „Bearbeitungsfunktion“ durch Klicken zu aktivieren und ein „Kompetenzprofil“ einzusehen. Folgen die Nutzer der Empfehlung, erlauben sie die Ausführung von Makros, die umgehend die Schadsoftware erstellen und dann das System abstürzen lassen. Ein Neustart zeigt angeblich die Reparatur von gefährlichen Festplattenfehlern, doch die Anzeige in Prozent zeigt nur den Fortschritt von „Goldeneye“ an, der die Dateien verschlüsselt.

Diesen Prozess  kann man nicht stoppen und am Ende hinterlegt der Trojaner auf der Festplatte einen „Erpresserbrief“. In dieser Datei finden die Nutzer die Details zur Entschlüsselung des PC und den Weg ins Darknet, wo der (kostenpflichtige) Code für die Freigabe des Computers hinterlegt ist.

Experten vermuten, dass es sich bei „Goldeneye“ um eine Weiterentwicklung des Trojaners „Petya“ handelt, der ebenfalls Computer verschlüsselt hat. Für diese Schadsoftware bietet der Diplomingenieur Rolf B. Drescher aus Mitteleschenbach einen kostenpflichtigen Entschlüsselungsservice an. Die Hacker scheinen darüber verärgert, denn in den infizierten „Goldeneye“-Mails wird als Absender die E-Mail-Adresse des IT Spezialisten angegeben. Drescher hat jetzt Anzeige gegen Unbekannt wegen Identitätsdiebstahl gestellt und fordert die Internetgemeinde zur Mithilfe gegen die Cyberkriminellen auf. Und warnt Empfänger von Online-Bewerbungen vor dem unachtsamen Anklicken von Links in Anhängen.

 

Schreibe einen Kommentar