Seit gestern Nacht 4 Uhr attackiert der Verschlüsselungstrojaner mit dem eingängigen Namen des James Bond Films ganz gezielt Personalabteilungen deutscher Unternehmen. Überträger ist eine Bewerbungsmail die an den korrekten Ansprechpartner gerichtet ist und auf eine tatsächlich offene Stelle passt.

GOLDENEYE

Der bisher völlig unbekannte Virus tarnt sich dabei selber als Bewerbungsmail. Sein vornehmliches Ziel: Systeme im ganzen Land zu verschlüsseln. Versteckt ist die Ransomware dabei in der angehängten XLS-Datei. Dabei sind die Bewerbungen auch formell ordentlich und in bestem Deutsch formuliert. Dies macht die Unterscheidung zu echten Bewerbungen natürlich noch schwerer.

DRESCHER…ROLF DRESCHER

Die E-Mails kommen bisher wohl alle von einem ominösen „Rolf Drescher“. Die E-Mail Adressen sind dabei alle vom Typ „rolf.drescher@“ und einem entsprechenden Providernamen. Laut Recherchen von heise Security kommen die Mails aber aller Wahrscheinlichkeit nach nicht von diesen Absendern. Man vermutet stattdessen, dass ein Rachefeldzug dahintersteckt. Die Ingenieursozietät Dipl.- Ing. Rolf B. Drescher VDI & Partner bietet nämlich Entschlüsselungshilfe Petya-Opfer an. Petya ist ebenfalls ein Verschlüsselungstrojaner, dem Goldeneye nicht unähnlich ist.

DATEI NICHT ÖFFNEN

Die Excel-Datei darf auf keinen Fall geöffnet werden. Falls doch, wird man aufgefordert die „Bearbeitungsfunktion“ zu aktivieren. Wenn man dies dann auch noch zulässt, damit das Programm die Makros ausführen darf, ist es schon zu spät. Es werden umgehend zwei Programmdateien vom Typ *.exe erzeugt, ausgeführt und das gesamte System dadurch verschlüsselt. Im Normalfall folgt dann die obligatorische Lösegeldforderung wie sie auch bei den Locky-Angriffen populär ist.

WINDOWS SERVER 2012 SICHER

Wie heise online berichten, sind wohl nicht alle Betriebssysteme betroffen: „Während der Trojaner unter Windows 7, Windows 10 und Server 2008 anscheinend problemlos Daten verschlüsselt, scheint dies auf Windows Server 2012 nicht zu funktionieren.“

SICHERHEITSTIPP

E-Mails von „rolf.drescher@“ direkt löschen. Öffnen Sie keine xls-Dateien von Ihnen unbekannten Absendern. Auch nicht wenn Sie in diesen E-Mail korrekt angesprochen werden, denn dies ist wie gesagt eins der bemerkenswerten Features dieses Angriffs. Diese Tatsache und die, dass die Bewerbungsmail perfekt auf tatsächlich offene Stellen passt, sind Indiz dafür, dass die Angreifer wohl im Vorhinein erhebliche Mengen an E-Mail Adressen von Personalverantwortlichen und Daten über offene Stellen abgezogen haben müssen.