+49 6841 1889 401 | +49 6841 1889 444 | info@homburger-consulting.de

Wir müssen wieder aktiv warnen: wieder einmal verbreitet sich ein neuer Verschlüsselungs-Trojaner mit dem Namen „Goldeneye“ rasant schnell per Massen-Mails im Internet.

Ein bisher unbekannter Verschlüsselungs-Trojaner tarnt sich als Bewerbungs-eMail und versucht, Systeme in ganz Deutschland zu verschlüsseln. Momentan wird er von vielen Virenscannern leider noch nicht erkannt.

Der Trojaner verbreitet sich per eMail, an der eine XLS-Datei hängt. Die Mails sind als Bewerbung getarnt, Sogar mit gut formulierten Bewerbungstexten als „Bürokaufmann“, „Steuerfachangestellter“ usw. und in fehlerfreiem Deutsch, was die Erkennung als potenzielle Gefahr erschwert.

Öffnet der Nutzer die angehängte Excel-Datei, wird er im Dokument darum gebeten, die „Bearbeitungsfunktion“ des eingesetzten Tabellenkalkulationsprogramms zu aktivieren. Tut man dies und erlaubt dem Programm so, Makros auszuführen, ist es zu spät. Der Trojaner erzeugt dann zwei EXE-Dateien, führt sie aus und verschlüsselt Daten auf dem System, um anschließend Lösegeld zu fordern.

Der Schadcode scheint den Computer zu einem Neustart zu zwingen und dann unter dem Vorwand eines gefakten Chkdsk-Bildschirms die Daten auf allen Festplatten zu verschlüsseln – ggfs. auch die Sicherungs-Festplatten, so dass man bei Befall auch keine Datensicherungen mehr hat. Wenn Sie Ihr lokales System z.B. auf USB- oder NAS-Platten sichern, sollten Sie tagsüber diese Platten abstöpseln.

Der Trojaner „Goldeneye“ zielt speziell auf Personalverantwortliche in Firmen. Woher die Drahtzieher dieses die E-Mail-Adressen von Personalverantwortlichen in den Zielfirmen haben, ist momentan nicht klar. Einige der eMail-Adressen sind Mailadressen, die in Stellenausschreibungen genannt wurden. Auch ist auffällig, dass die Angreifer massenweise gültige Stellenausschreibungen mit den richtigen Stellenbeschreibungen parat haben. Es wird auch berichtet, dass die Mails neben der schadcodebehafteten XLS-Datei auch noch ein PDF angehängt war. Die PDF wirkt wie eine legitime Bewerbung, in der das Unternehmen und dessen Personalverantwortliche sogar gezielt angesprochen werden. Auch nimmt das Dokument Bezug auf konkrete Stellen, die bei dem Unternehmen offen sind. Die Angreifer scheinen über recht tiefgehende branchentypische Informationen zu den Unternehmen zu verfügen.

Hinweis: Sie sollten keine Personalanzeige öffnen, wenn dort eine DOC- oder XLS-Datei im Anhang ist. Schicken Sie diese Bewerbungen zurück und sagen Sie, dass Sie aus Sicherheitsgründen Bewerbungsunterlagen nur im PDF-Format entgegennehmen.

Aktuell warnt die Polizei in Köln und anderswo noch: Wer eine eMail mit dem Betreff „Polizei Dienststelle Cyber“ erhält, sollte unter keinen Umständen den Dateianhang öffnen, darin versteckt sich ein Schadcode. In der Formulierung der Mail tauchen verschiedene Dienststellen auf, etwa aus Dortmund und Hannover, die angeblich ein Verfahren gegen den Empfänger der eMail an die Polizeihauptwache Köln übergeben haben. Die Betrüger werfen dem Opfer Betrug auf verschiedenen Handelsplattformen wie eBay usw. vor und drohen mit einer Vorladung in diesem Verfahren. Der Inhalt der Mail ist frei erfunden und Empfänger sollten die Nachricht umgehend löschen. Im Anhang der Nachricht befindet sich den Betrügern zufolge die Akte zum Fall in Form einer Word-Datei, mit der dann über die Makro-Funktion von Word Trojaner auf die betroffenen Computer geladen werden. Sie sollten die Mails sofort löschen !

Geben Sie bitte diese Mail auch an Ihre Mitarbeiter weiter, damit diese besonders vorsichtig sind!