Land

Security Blog

Goldeneye Ransomware versteckt sich in Bewerbungen

Screenshot der Erpressernachricht der Goldeneye Ransomware

Bereits PETYA hat sich erfolgreich die Mühe gemacht, sich als Job-Bewerbung zu tarnen, und damit  Anfang 2016 für viel Aufmerksamkeit gesorgt. Seit einiger Zeit fällt nun der Bewerbungstrojaner Goldeneye mit einer beachtlichen Outbreakwelle auf.

Vorrangig an Personalabteilungen in Deutschland adressiert, schicken die Erpresser legitim erscheinende Bewerbungsunterlagen, die es in sich haben: Korrekt ausformulierte Anschreiben und ein Bewerbungsschreiben als (harmloses) PDF sollen das Vertrauen des potenziellen Opfers wecken. Eine Excel-Datei, die den Lebenslauf des angeblichen Bewerbers enthalten soll, verlangt schließlich die Aktivierung von Makros – und infiziert mit der dahinter verborgenen exe-Datei Rechner und Netzwerke.

Der Erpressertrojaner nennt sich „Goldeneye Ransomware“ und verschlüsselt das System nach einem Neustart kurz nach Öffnen des XLS, der als CHKDSK (Überprüfung auf Dateisystemfehler) getarnt ist, mit zufällig generierten Dateiendungen. Die Erpresser-Botschaft leitet die Opfer der Ransomware zum Kauf eines Entschlüsselungscodes ins Darknet, über den Tor-Browser sollen dort gegen eine nicht unerhebliche Summe in Bitcoins die verschlüsselten Daten freigekauft werden. Ob nach Bezahlung tatsächlich eine vollständige Entschlüsselung möglich ist, kann allerdings nicht garantiert werden.

Bisher gibt es noch kein kostenloses Entschlüsselungstool, wie es das beispielsweise für PETYA gab. Wer bereits Opfer von Goldeneye geworden ist, muss die Hoffnung aber noch nicht aufgeben. Wer hingegen ein aktuelles Backup seiner Daten hat, das getrennt vom befallenen System aufbewahrt wurde, spielt einfach dieses ein. Um einen erneuten Ausbruch zu verhindern, empfiehlt es sich, einmal befallene Geräte bzw. Systeme neu aufzusetzen. Da diese Maßnahmen zwar erfolgreich, aber gerade bei größeren Datenmengen im Unternehmen auch zeitaufwändig sind, beachten Sie bitte vorab folgende Sicherheitsmaßnahmen, um das Risiko einer Infektion zu minimieren:

  • Informieren Sie sich und Ihre Mitarbeiter laufend über aktuelle Gefahren
  • Installieren und aktualisieren Sie laufend AntiViren-Software, SPAM-Filter, Firewall und IPS
  • Halten Sie Betriebssysteme, Webbrowser, Java, Flash immer auf dem neusten Stand
  • Deaktivieren Sie Makros oder verwenden Sie nur entsprechend signierte Makros
  • Hindern Sie die Verzeichnisse AppData und Startup am Ausführen von unbekannten Executables
  • Konfigurieren Sie SPAM-/Viren-Filter so, dass JavaScript-Inhalte von nicht vertraulichen Quellen geblockt werden
  • Seien Sie prinzipiell skeptisch gegenüber unerwarteten Nachrichten/unbekannten Absendern/verdächtigen Anhängen
  • Legen Sie aktuelle Backups an und bewahren Sie diese getrennt vom Rechner/Netzwerk auf

Beratung und Hilfe zu Schutzmaßnahmen sowie auch im Fall einer bereits erfolgten Infektion finden Sie unter support@ikarus.at oder Tel. +43 1 58995-0.