Wer eine Bewerbung erhält, welche im Excel Format .xls abgespeichert ist, der sollte hellhörig werden und lieber zwei mal schauen, bevor das System durch die neue GoldenEye Ransomware verschlüsselt wird.Es sind daher Personalabteilungen die im Fokus der Erpresser stehen. Sobald man der Aufforderung nachkommt, Makros zu aktivieren, verschlüsselt der Trojaner los.
Übervorsichtiges, Paranoides oder grob fahrlässiges Verhalten, bei der Handhabung mit Dateien
Der Blogger Kollege André Fritsche beschreibt es in seinem Blog bereits schön:
Wird schon nichts passieren. Keine Lust jetzt mit der IT zu streiten, ob die eingetroffenen Unterlagen geöffnet werden dürfen oder nicht. Es ist einfacher die Datei zu öffnen und das Risiko einzugehen. Es ist ja auch schon so oft nichts passiert1. (André Fritsche)
Es ist genau die Situation, auf die die Entwickler der schadhaften Software abzielen. Da es momentan noch keine Software gibt, die den Trojaner kostenfrei entschlüsselt, ist ein solches Verhalten in jedem Fall teuer.
GoldenEye Ransomware stammt voraussichtlich von Petya Entwicklern
Petya ist ein Verschlüsselungstrojaner, der vor einiger Zeit vielen Unternehmen Probleme bereitet hat. Mittlerweile gibt es ein kostenfreies Entschlüsselungstool2. Die Bezahlung von hohen Summen über Bitcoins wird damit hinfällig. Die Ingenieursozietät Dipl.- Ing. Rolf B. Drescher VDI & Partner biete sogar einen kostengünstigen Service3 an, durch den man seine Festplatte, welche durch Petya verschlüsselt wurde, wieder entschlüsseln kann.
Dass das von den Entwicklern der Ransomware nicht gefunden wird, wundert wohl keinen. Die E-Mail Adresse, über die die GoldenEye Ransomware verschickt wird, lässt einen Racheakt4 vermuten. Absender ist nämlich “Rolf.drescher@domain.tld“.
So schützt man sich vor der GoldenEye Ransomware!
Erwartet man Bewerbungen, dann sollte man das Format bei der Ausschreibung vorschreiben. Landen Bewerbungen in seltsamen Formaten im E-Mail Postfach, dann sollte man grundsätzlich skeptisch sein. Will man der Bewerbung trotzdem eine Chance geben, trotz unseriöser Formate, dann sollte vorher eine online Virendatenbank wie z.B. VirusTotal, oder Alternativen, in Anspruch genommen werden.
Hier ist der Vorteil, dass direkt mehrere Virenscanner die Datei kontrollieren. Bis die Signatur der Ransomware bei allen Anti-Viren Produkten ankommt, können schonmal mehrere Stunden oder gar Tage vergehen. Auf gar keinen Fall sollten aber, auf Bitten der Datei, Makros aktiviert werden!
Die GoldenEye Ransomware – Alter Wein in neuen Schläuchen!
Es ist der gute Schreibstil, durch die Seriosität vermittelt wird. Vielleicht sogar passt die Stellenanzeige, auf eine gerade ausgeschriebene Stelle. Lediglich das Format ist seltsam. Doch genau hier müssen die Alarmglocken angehen. Das Bewusstsein für IT-Sicherheit und die Sensibilisierung tragen an diesen Stellen Früchte. Die NoMoreRansom Vereinigung erhält, aufgrund zunehmend erfolgreicher Kampagnen, mehr Unterstützer. Es gibt aber noch mehr Anlaufstellen.
PS. Falls jemand Makros aktiviert hat – sofort den Rechner ausschalten und den Prozess der Verschlüsselung zu unterbrechen5! Aber nicht nur Makros können Malware nachladen. In Powerpoint gab es noch andere Angriffsmöglichkeiten.
Weitere Informationen und Quellen
[1] Vorsicht! Goldeneye Verschlüsselungstrojaner tarnt sich als Bewerbung (andresilaghi.com)
[2] Die Bedrohung erkennen, Mitarbeiter warnen, Infektion verhindern (heise)
[3] Petya Entschlüsselungstool (Leo-Stone@github)
[4] Trojanerhilfe IT-Service (Ingenieursozietät Dipl.- Ing. Rolf B. Drescher VDI & Partner)