Ransomeware durch Bewerbung

Aktuell gibt es eine neue/alte Bedrohung durch Mails mit Bewerbungen. Diese hatten wir jetzt bei 3 Kunden und es ist schwer es zu erkennen.

(Bilder der E-Mail die versendet wird folgen noch)

Die Bewerbung selbst ist gut gemacht und das Bild im Anhang ist kein Problem. Problematisch ist die .zip Datei in der die Bewerbung sitzen soll. Sobald die Datei entpackt ist und man die Datei ausführt passiert folgendes:

– Direkt auf dem Profil auf dem Desktop erscheint eine Encrypt_crab.txt (Diese sagt später auch wer die Ransomeware/Malware ausgeführt hat, denn die Datei wir nur bei dem ausführenden Benutzer auf dem Desktop erstellt).

– Es werden von ALLEN Ordnern die Vorgängerversionen und Schattenkopien gelöscht! (Noch bevor bzw. während die Dateien verschlüsselt werden)!

– In jeden Unterordner wird oben genannte Datei gelegt. Explizit werden Daten angegriffen mit allen Endungen von Office/PDF/Bilddokumente/usw.

– Die Funktion des PCs bleibt bestehen. Nachdem auf dem PC alle Dateien unbrauchbar sind geht es weiter mit den Netzlaufwerken und (falls vorhanden) Backups die auf dem Netzlaufwerk liegen. Auch können wir durch einen selbsttest bestätigen, dass die Ransomeware das Netz komplett durchleuchtet.

– Ist das System infiziert und es wird zu spät gemerkt gibt es KEINE Möglichkeit die Daten wiederherzustellen. Eine Entschlüsselung gibt es von den Anbietern noch nicht.

 

Schutz gegen diese Angriffsart:

– Netz unabhängige Backups (z.B. auf Netzlaufwerke die NUR während des Backups zugänglich sind und ohne Domain Authentifizierung)

– Backups auf Wechseldatenträger die nur für das Backup angeschlossen werden

– Aktuellen Virenschutz der Ransomeware beinhaltet (TrendMicro und GData wurden von uns getestet beide haben die Ransomeware erkannt und entfernt)

– Wenn unter einemZip Ordner eine komische Datei liegt NICHT ausführen, falls doch und man sieht eine TXT Datei auf dem Desktop SOFORT Stromstecker ziehen und PC NICHT wieder anschalten!

 

Anmerkung: Rückverfolgung ist nicht möglich das wurde von uns probiert. Die Kommunikation ist verschlüsselt und somit nicht brauchbar.