Noch eine kleine Warnung für Admins im Geschäftsumfeld: Es scheint, als ob die Grandcrab-Ransomware-Kampagne auch Deutschland erreicht. In vorgeblichen Bewerbungsschreiben wird im Anhang der Erpressungstrojaner verteilt.
Anzeige
Wird der Schädling aktiv, verschlüsselt er die Dateien des Benutzersystems und fordert Lösegeld. Varianten dieses Schädlings sind bereits seit Anfang des Jahres unterwegs und bei Bleeping Computer gibt es so einen Decryptor für ältere Versionen. Ich hatte in den letzten Wochen bereits gesehen, dass neue Varianten des Schädlings im Juni/Juli 2018 gesichtet wurden. Diese englischsprachige Webseite hält z.B. einige Informationen bereit, und hier verspricht eine Webseite sogar ein Entschlüsseln der .KRAB-Dateien (über die Seriosität der Angebote kann ich nichts sagen, würde aber eher zu 'Finger weg' tendieren). Alle Fundstellen, die mir unter die Augen kamen, bezogen sich aber auf englischsprachige Webseiten, weshalb ich das hier im Blog nicht thematisiert habe.
Warnung der Polizei Niedersachsen
Jetzt berichtet heise.de hier, dass der Erpressungstrojaner wohl auch auf deutsche Nutzer zielt. Zumindest warnt die Polizei Niedersachen auf ihren Präventionsseiten vor einer Bewerbungsmail mit Schadsoftware im Anhang. Die Masche besteht darin, dass die Kriminellen ein fingiertes Bewerbungsschreiben mit Anhang an diverse Firmenempfänger als Spam-Mail versenden. Hier ein Beispiel:
"Bewerbung auf die ausgeschriebene Stelle – Nadine Bachert"
"Sehr geehrte Damen und Herren,
anbei erhalten Sie meine Bewerbung für Ihre ausgeschriebene Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung im Vertrieb und der Kundebetreuung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen.
Ich freue mich auf ein persönliches Vorstellungsgespräch.
Mit besten Grüßen
Nadine Bachert"
Dies ist i.d.R. nicht auffällig, da Firmen häufiger solche Bewerbungsschreiben erhalten. Auch Anhänge werden bei solchen Bewerbungen mitgeschickt. Zudem ist der Mail wohl ein Foto einer jungen Dame beigefügt. Dass das Schreiben nicht auf eine konkrete Stellenausschreibung Bezug nimmt – dürfte so manchem Sachbearbeiter in der Personalabteilung bekannt vorkommen. Zudem könnte ja ein detaillierteres Anschreiben im Anhang stecken.
Wenn der Trojaner zuschlägt
Ein Sachbearbeiter, der unachtsam die angehängte ZIP-Datei zum Entpacken öffnet, und dann die darin enthaltene .exe-Datei unter Windows ausführt, startet die Ransomware. Diese beginnt sofort mit der Verschlüsselung der erreichbaren Dateien. Im Anschluss erscheint nachfolgender Text auf dem Bildschirm, mit dem die Ransomware Lösegeld in Form von Bitcoin-Zahlungen erpressen will.
"—= GANDCRAB V4 =—
Achtung!
Alle Ihre Dateien, Dokumente, Fotos, Datenbanken und andere wichtige Dateien wurden verschlüsselt und haben die Dateiendung: .KRAB Die einzige Methode zum Wiederherstellen Ihrer Dateien besteht darin, Ihren persönlichen privaten Schlüssel zu erwerben. Nur wir können Ihnen diesen Schlüssel geben und nur wir können Ihre Dateien wiederherstellen. Die komplette Anleitung um Ihren privaten Schlüssel zu erwerben finden Sie auf unserer Webseite welche sich im TOR-Netzwerk befindet. Bitte folgen Sie diesen Schritten um auf unsere Webseite zu gelangen:—————————————————————————
| 0. Laden Sie den Tor-Browser herunter – www.torproject.org
| 1. Installieren Sie den Tor-Browser
| 2. Öffnen Sie den Tor-Browser
| 3. Öffnen Sie den folgenden Link im TOR-Browser: gandcrabmfe6mnef.onion/c746bae0f8f8df8c
| 4. Folgen Sie den Anweisungen auf der Seite
—————————————————————————-Auf unserer Seite finden Sie eine Anleitung zur Bezahlung und erhalten die Möglichkeit, 1 Datei kostenlos zu entschlüsseln. ACHTUNG! UM DATENSCHADEN ZU VERMEIDEN: * NEHMEN SIE KEINE ÄNDERUNGEN AN DEN VERSCHLÜSSELTEN DATEIEN VOR […]"
Die Mail-Texte können variieren. Leider erkennen nicht alle Virenscanner und Sicherheitslösungen die Varianten der Schadsoftware. Hier kommt es darauf an, die Sachbearbeiter zu schulen, dass keine .exe-Dateien im Anhang einer Mail auszuführen sind – und ggf. die Ausführung von Programmen proaktiv zu unterbinden. Zudem sollten Administratoren für ein rollierendes Backup sorgen. Die Polizei Niedersachsen rät, kein Lösegeld zu zahlen und Anzeige zu erstatten.
2015
*.exe unter Win10 mit dem eMClient
Als erstes schlägt der eMClient Alarm und möchte diese Datei einfach nicht ausführen.
Nur mit ausdrücklicher Erlaubnis lässt der eMClient dies dann zu.
Dann schlägt Win10 Alarm und möchte diese Datei nicht ausführen.
Man muss explizit anklicken, dass man unbedingt dieser Quelle vertraut und dass man diese Datei ausführen möchte.
Dann kommt der nächste Warnhinweis, dass das Zertifikat nicht stimmt. "Wollen sie wirklich diese Datei ausführen?"
Also sorry!
Ich hätte die Aufregung verstanden, wenn der Trojaner in einer pdf getarnt gewesen wäre, wo man wirklich als Laie keine Chance hat. Aber so?
Das sehe ich anders, als IT-Techniker durfte ich in den letzten Tagen viele krasse Situationen erleben, wo diese Ransom Ware Firmen fast in den Ruin getrieben hätte. Ein Großteil der Business-Kunden nutzt eben noch Windows 7 und das finde ich auch okay so und wenn eine Schadsoftware ganz neu ist, dann kennt die auch noch kein Virenscanner – und so war es eben.
Und wenn bekannte Dateierweiterungen wie im Standard eingestellt nicht angezeigt werden, wird es eben schwierig für Leute, die so eine Situation noch nie hatten und mit nichts bösem rechnen.
Was in vielen Firmen passiert ist, Mitarbeiter A bekommt die Schadsoftware und bekommt die Bewerbung nicht auf – schickt eine Mail an Mitarbeiter B, der bekommt die auch nicht auf – schickt die an Mitarbeiter C usw. bis hin zum Chef und so waren dann ruck zuck komplette Firmen inklusive Server dank Netzlaufwerk außer Gefecht gesetzt.
Achso und diese MySpyBot Geschichte die oben verlinkt wurde halte ich persönlich für alles andere als seriös…
Wir haben für solche Fälle unsere Firewall sehr scharf eingestellt.
Da sieht eine Archiv-Datei kein Land. Geht alles nur über unsere Freigabe.
Da ist es als Admin einfach wichtig genau solche Meldungen rechtzeitig zu lesen und schon zu wissen wie der Hase läuft.
Tippfehler in Überschrift oder einfach nur uneinheitliche Namensgebung?
Tippfehler – danke für den Hinweis
Interessant ist, dass die Polizei Niedersachsen, die Links des Erpresser-E-Mails gleich mit Verknüpfung eingestellt haben.
Das ist mir doch echt zu blöd. Wer sich unter Windows nicht die Dateiendungen anzeigen lässt, dem ist wirklich nicht mehr zu helfen. Und dann hat man noch KollegenInnen die noch Flash installieren damit ihr Browsergame läuft.
Für Rene:
bei mir hat das nicht tausendmal den Anhang nicht öffnen wollen,
da hat es beim zweiten Mausklick direkt alles gesperrt!!!!!
Soviel zu "die User sind alle dumm"