Derzeit werden in Deutschland Mails verbreitet, die eine vorgebliche Bewerbungsmappe als Excel-Datei im Anhang mitbringen. Darin steckt ein Trojanisches Pferd. Es legt weiteren Schadcode als EXE-Dateien auf dem System ab, der Daten auf der Festplatte verschlüsseln soll. Die Programmierer bezeichnen ihren Schädling selbst als „Goldeneye“, was wohl eine Anspielung auf einen James-Bond-Film aus dem Jahr 1995 sein soll. Goldeneye ist offenbar der jüngste Ableger der Ransomware „ Petya “. Der Mail-Anhang trägt beispielsweise den Dateinamen „bewerbung.xls“. Sie enthält ein VBA-Makro, die erste Stufe des Schädlings. Wird die Datei in Excel geöffnet, erscheint eine Aufforderung zum Aktivieren der Bearbeitungsfunktion. Da Makros in Excel sicherheitshalber erstmal deaktiviert sind, wird der Schädling erst durch diese Aktion des Benutzers aktiv. Er legt dann zwei EXE-Dateien auf dem System ab und erzwingt einen Neustart des Rechners. Er täuscht dabei wie seine Petya-Vorgänger eine Festplattenprüfung mit CHKDSK vor.
Während dieses Vorgangs werden Daten auf der Festplatte verschlüsselt. Nach Angaben des Wiener Antivirusherstellers Ikarus fordert der Schädling für die Freigabe der verschlüsselten Daten ein Lösegeld in variierender Höhe zwischen 1,3 und 1,4 Bitcoins, derzeit etwa 950 bis 1000 Euro. Diese sollen an eine Adresse im Tor-Netzwerk gezahlt werden. Um die Erkennung durch Antivirus-Software zu erschweren, variieren die Malware-Programmierer die Excel-Dateien. Bislang erkennen nur wenige Virenscanner die Excel-Dateien, dafür allerdings alle bislang vorliegenden Exemplare. Bei den abgelegten EXE-Dateien sieht die Erkennung noch schlechter aus. Erfahrungsgemäß kann es einen halben bis ganzen Tag nach Start einer neuen Malware-Kampagne dauern, bis die meisten Antivirusprogramme den neuen Schädling erkennen. Alle, die Mails mit vermeintlichen Bewerbungsunterlagen erhalten, sollten die Anhänge der Mails für mindestens einen, besser zwei Tage nicht anfassen. Im Unternehmen sollten Sie sich an die IT-Abteilung wenden und den Erhalt verdächtiger Mails melden.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.